Основная функция Smoke Loader - забрасывать на зараженные машины другие, более разрушительные вредоносные программы. Однако, в отличие от многих конкурирующих загрузчиков, этот может быть расширен с помощью плагинов и оснащен деструктивными, вредоносными функциями для кражи информации.
Также известен как
Dofoil
Что такое Smoke Loader?
Smoke Loader, иногда также называемый Dofoil, представляет собой модульную вредоносную программу, используемую в основном для загрузки других вирусов на зараженные машины. Несмотря на свой характер загрузчика, бот Smoke Loader может быть оснащен множеством вредоносных функций. Большинство из этих функций направлены на кражу конфиденциальных данных у жертв.
Впервые Smoke Loader был замечен в дикой природе в 2011 году. Он продавался на подпольных порталах grabberz[.]com и xaker[.]name участником под ником SmokeLdr. Функциональность вредоносной программы варьируется от одной атаки к другой и зависит от выбора модулей, сделанного злоумышленниками.
Несмотря на свой преклонный возраст, Smoke Loader продолжает оставаться активной угрозой и по сей день. В частности, эта вредоносная программа фигурировала в кампаниях RigEK и MalSpam. Следует отметить, что после марта 2014 года Smoke Loader продается только русскоязычным злоумышленникам.
Общее описание Smoke Loader
Основные функции Smoke Loader включают загрузку до десяти исполняемых файлов и их запуск, геотаргетинг жертв для направления атак на определенные страны, загрузку файлов по URL-адресам, имитацию легитимных процессов и предоставление подробных сводок об установках и запусках.
Два дополнительных модуля позволяют расширить набор возможностей Smoke Loader за счет функций похищения информации. Это позволяет Dofoil перехватывать пароли от широко используемых почтовых клиентов, FTP-клиентов и программ типа TeamViewer. Вредоносная программа может отправлять эти данные на C2 злоумышленника.
Вирус Smoke Loader с годами эволюционировал. Согласно исследованию специалиста по кибербезопасности, образец конца 2018 года включал в себя целый ряд антиотладочных техник, гораздо более сложных, чем все, что присутствовало в ранних итерациях вредоносной программы. Например, версия Smoke Loader 2018 года научилась проверять, запускается ли она в виртуальной среде. Он также научился обнаруживать и немедленно уничтожать любые аналитические инструменты, запущенные на машине. В совокупности эти особенности делают анализ вредоносной программы Dofoil очень сложным. Dofoil также в значительной степени опирается на технику "углубления" процессов, нацеливаясь в основном на Explorer.exe.
Более того, в то время как многие вредоносные программы в природе должны итеративно просматривать список процессов, чтобы найти цель инъекции, что позволяет исследователям обнаружить их, Smoke Loader удается избежать такого поведения и оставаться скрытым, вызывая Windows API GetShellWindow для доступа к окну рабочего стола оболочки и вызывая GetWindowThreadProcessId для получения идентификатора процесса Explorer.exe.
Чтобы еще больше запутать исследователей безопасности, все функции Smoke Loader содержат бессмысленные инструкции. В то же время имена библиотек шифруются с помощью жестко закодированного ключа. Инструкции не кодируются стандартным образом. Вместо этого они перемешаны с инструкциями перехода. Большая часть этого кода перенаправляет поток программы, создавая путаницу при отладке Dofoil.
Процесс выполнения Smoke Loader
Итак, как работает Smoke Loader? Поскольку наиболее распространенным вектором атаки для заражения устройств пользователей являются вредоносные спам-кампании, троян Smoke Loader чаще всего попадает на устройства с файлами Microsoft Office. Как только пользователь загружает и открывает вредоносный файл, вредоносная программа попадает с него на машину.
После этого SmokeLoader внедряет вредоносный код в системные процессы, такие как explorer.exe. Затем инжектированный процесс начинает основную вредоносную деятельность.
Распространение Smoke Loader
Вирус Smoke Loader попадает на компьютеры в виде вредоносного вложения Microsoft Word. Первоначально он попадает к пользователям в спам-рассылках. Злоумышленники используют социальную инженерию, чтобы убедить потенциальных жертв загрузить вложенный файл и включить макросы, по такому же сценарию действуют Ave Maria и Revenge.
Таким образом, предотвратить заражение довольно просто. Пользователям рекомендуется не загружать файлы из подозрительных писем и держать макросы отключенными. И уж тем более никогда не включайте их при появлении запроса на скачивание файла.
Как Smoke Loader взаимодействует с C&C?
Вредоносная программа Smoke Loader пытается скрыть свою вредоносную природу. Это достигается путем подмешивания в C&C-коммуникацию нечастых запросов к легитимным веб-сайтам. Вирус подключается к таким сайтам, как Microsoft.com и Adobe.com. Несмотря на получение в основном HTTP 404 в запросах, в теле ответа все равно видны данные.
Заключение
Несмотря на достаточно большой возраст, вирус Dofoil только набирает популярность. С момента своего первого появления в 2011 году эта вредоносная программа остается весьма активной и неуловимой угрозой, и не благодаря своим продвинутым функциям защиты от вторжения. Кроме того, он используется в качестве загрузчика и устанавливает потенциально более опасные вредоносные программы.
Более того, сам Smoke Loader может использоваться для вытягивания конфиденциальной информации с зараженных машин и проведения разрушительных, вредоносных кампаний.