登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

收到报价相关电子邮件请注意!可能是钓鱼!恶意软件SmokeLoader锁定台湾企业下手

分享

支付動態

2024-12-03

资安业者Fortinet针对9月出现的恶意软件SmokeLoader攻击行动提出警告,并指出黑客锁定台湾多个产业而来,假价报价名义寄送钓鱼信,意图散布恶意程序,于受害电脑窃取各式帐密数据

今年5月,欧洲刑警组织与十多个国家的执法单位联手,针对包含SmokeLoader在内的多款恶意程序加载工具(Loader)、僵尸网络,摧毁相关基础设施,并逮捕嫌犯、冻结不法所得,但事隔数个月,这些黑客又再度从事攻击行动,而且,这次疑似针对台湾而来。

资安业者Fortinet指出,他们在今年9月看到新一波的SmokeLoader攻击行动,黑客针对台湾的制造业、医疗保健、信息技术,以及其他领域的公司而来。值得留意的是,过往攻击者将SmokeLoader作为散布其他恶意程序的管道,但在这波资安事故里,黑客从C2服务器下载其他的SmokeLoader插件程序,以便进行后续的恶意活动。

攻击者先是通过钓鱼信对目标下手,他们假借提供报价的名义,要求收信人依照指示进行确认、回复,一旦收信人打开附件的报价数据文件,电脑就有可能运行VBS脚本,启动恶意程序加载工具AndeLoader,最终加载SmokeLoader的有效酬载。

值得留意的是,虽然黑客对多家公司发动攻击,但他们似乎使用几乎一模一样的钓鱼信,甚至连收信人都相同。研究人员提及,攻击者在签名档的文本及电话号码,与内文的字体及颜色有所不同,他们认为这些文本很有可能从其他地方剪贴而来。

针对钓鱼信挟带的恶意附件Excel档,攻击者先是利用RCE漏洞CVE-2017-0199,触发埋在试算表的恶意链接,自动下载另一个恶意文件并打开。

攻击者下载的文件大致分成2种,其中一种是Word文件,此时攻击者会触发Office方程序编辑器的RCE漏洞CVE 2017-11882运行Shell Code,然后借由特定API下载VBS文件,运行AndeLoader。

而另一种则是HTML应用程序文件(HTA),该文件内含经过算法处理的VBS代码,一旦运行,电脑就会解密VBS并运行PowerShell代码,下载与AndeLoader有关的VBS文件。附带一提的是,攻击者为了扰乱研究人员分析,他们在VBS档的符号及参数当中,加入大量空白。

但无论是那一种攻击链,最终都是通过AndeLoader加载SmokeLoader,并加载对应的插件程序窃取电脑的各式帐密数据。研究人员总共发现有9款插件程序,可供攻击者从浏览器挖掘帐密数据、自动填写的内容,也可从Outlook和Thunderbird找寻特定的信件数据,此外,这些插件也可从FileZilla、WinSCP收集帐密数据。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu