SmokeLoader
Аналитический центр AhnLab SEcurity (ASEC) обнаружил, что многочисленные вредоносные программы SmokeLoader распространяются среди украинского правительства и компаний. Похоже, что в последнее время количество атак, направленных на Украину, увеличилось. Среди подтвержденных целей - Министерство юстиции
CERT-UA принимаются точечные меры, направленные на раскрытие и минимизацию вероятности реализации злонамеренного замысла организованной группой злоумышленников, которая отслеживается с 2013 года по идентификатору UAC-0006.
В последнее время компания Cisco Talos отмечает рост активности группы 8Base, использующей для своих операций вариант программы-рансомера Phobos и другие общедоступные инструменты.
CERT-UA в период со 2 по 6 октября 2023 года зафиксировано, по меньшей мере, четыре волны кибератак, осуществленных группировкой UAC-0006 с применением вредоносной программы SmokeLoader.
8 августа 2023 года исследователи Secureworks Counter Threat Unit (CTU) заметили, как ботнет Smoke Loader забрасывает на зараженные системы пользовательский исполняемый файл для сканирования Wi-Fi. Исследователи CTU™ назвали эту вредоносную программу Whiffy Recon. Она триангулирует местоположение зараженных
CERT-UA 21.07.2023 и 24.07.2023 зафиксированы очередные атаки группировки UAC-0006 с применением вредоносной программы SmokeLoader.
CERT-UA 13.07.2023 зафиксировано массовую рассылку электронных сообщений с темой "Счет-фактура" и вложением в виде файла "Акт_Звiрки_та_рах.факт_вiд_12_07_2023.zip", содержащий VBS-файл "рахунок_вiд_12_07_2023_до_оплати.vbs", открытие которого обеспечит загрузку и запуск вредоносной программы SmokeLoader.
SmokeLoader - это вредоносная программа Infostealer/downloader, которая распространяется через наборы эксплойтов. Как и другие вредоносные программы, распространяемые через наборы эксплойтов, эта вредоносная программа также имеет форму MalPe.
CERT-UA 29.05.2023 зафиксирована очередная кампания по распространению вредоносной программы SmokeLoader. Так, для отправки электронных писем применяются легитимные скомпрометированные электронные почтовые ящики, а доставка SmokeLoader на ЭВМ осуществляется несколькими способами.
CERT-UA выявлен факт распространения электронных писем с использованием скомпрометированных учетных записей с темой "рахунку/оплати" с приложением в виде ZIP-архива.