Nel settembre 2024, FortiGuard Labs ha osservato un attacco sofisticato che ha preso di mira diverse aziende a Taiwan, utilizzando il malware SmokeLoader. Questo attacco ha colpito settori come la produzione, la sanità e la tecnologia dell’informazione.
Le fasi dell’attacco
L’attacco è iniziato con e-mail di phishing ben congegnate, scritte in lingue locali e contenenti allegati dannosi.
Queste e-mail sfruttavano vulnerabilità note di Microsoft Office, CVE-2017-0199 e CVE-2017-11882.
Una volta aperti gli allegati, le vulnerabilità permettevano l’esecuzione di Ande Loader, che preparava il terreno per il caricamento finale di SmokeLoader.
Modularità di SmokeLoader
SmokeLoader è noto per la sua modularità e capacità di evasione. In questo attacco, ha utilizzato nove plugin distinti per compiti specifici, come il furto di credenziali, la cancellazione dei cookie e l’iniezione di codice nei processi. Questi plugin miravano a browser popolari, client e-mail e software FTP per raccogliere dati sensibili.
Tecniche di evasione
SmokeLoader ha dimostrato tecniche avanzate di evasione, come l’uso di script VBS offuscati e codice PowerShell per scaricare ulteriori componenti dannosi. Queste tecniche rendono difficile l’analisi e il rilevamento del malware.
Misure difensive
L’attacco con SmokeLoader contro le aziende taiwanesi evidenzia l’importanza di tenere software e sistemi sempre aggiornati e di una vigilanza continua. La modularità e la flessibilità di SmokeLoader rappresentano una minaccia significativa, che richiede un approccio proattivo alla sicurezza informatica.
Si raccomandano come misure difensive per contrastare questi tipi di minacce, quella di mantenere aggiornate le firme antivirus per rilevare e bloccare efficacemente il malware e la formazione sulla consapevolezza delle minacce.