SmokeLoader惡意程式瞄準台灣製造業與資訊科技業

最新情報顯示，台灣的製造業、醫療保健和資訊科技產業正面臨 SmokeLoader 惡意程式的新一波攻擊。

根據 Fortinet FortiGuard Labs 的報告指出，SmokeLoader 憑藉其多功能性和先進的反偵測技術而聞名，其模組化設計能執行多種攻擊。儘管 SmokeLoader 主要是作為下載器來傳遞其他惡意程式，但這次的攻擊中，改為透過從指揮控制伺服器下載外掛模組來直接執行攻擊。

SmokeLoader 最早於 2011 年在駭客論壇上出現，主要用於執行次要惡意負載。它具備下載額外模組的能力，可用於竊取資料、發動分散式阻斷服務（DDoS）攻擊和挖掘加密貨幣。

資安研究人員的深入分析顯示，SmokeLoader 具有偵測分析環境、產生虛假網路流量，以及混淆程式碼的能力，藉此逃避偵測並阻礙分析工作。這個惡意程式家族的開發者不斷引入新功能並採用更進階的混淆技術，使其性能更為強大，也讓分析變得更加困難。

今年 5月底，歐洲刑警組織主導的「終局行動」（Operation Endgame）摧毀了多個惡意程式家族的基礎設施，包括 IcedID、SystemBC、PikaBot、SmokeLoader、Bumblebee 和 TrickBot，導致 SmokeLoader 的活動顯著減少。

該行動成功摧毀約 1,000 個與 SmokeLoader 相關的指揮控制網域，並遠端清除超過 50,000 個受感染系統。然而，由於網路上存在大量破解版本，駭客組織得以透過建立新的指揮控制基礎設施，繼續使用此惡意程式散布惡意負載。

FortiGuard Labs 發現，最新的攻擊鏈起始於含有 Microsoft Excel 附件的釣魚郵件。當受害者開啟檔案後，攻擊者會利用舊安全漏洞（CVE-2017-0199 及 CVE-2017-11882）部署 Ande Loader 惡意程式，再藉此投放 SmokeLoader。

SmokeLoader 由兩個主要組件構成：中繼器和主要模組。中繼器負責解密、解壓縮並將主要模組注入 explorer.exe 程序；主要模組則負責建立持久性、與指揮控制基礎設施通訊並執行命令。

這個惡意程式支援多個外掛模組，能從網頁瀏覽器、Outlook、Thunderbird、FileZilla 和 WinSCP 等軟體竊取登入憑證、FTP 帳密、電子郵件地址和 Cookie 等敏感資訊。

SmokeLoader 選擇透過外掛模組執行攻擊，而非直接下載完整檔案作為最終攻擊階段。此舉不僅凸顯了 SmokeLoader 的靈活性，同時也提醒資安分析師在面對這類知名惡意程式時必須保持高度警覺。

本文轉載自 TheHackerNews。