حمله‌ی جدید درب پشتی Smoke Loader به اعتبارنامه‌ها

سه‌شنبه ۱۹ تیر ۱۳۹۷
آلودگی جدید کمپین Smoke Loader تلاش می‌کند اعتبارنامه‌ها را از چندین برنامه‌ی کاربردی به سرقت ببرد.
مرکز آپا شریف
SUT-APA-LOGO

آلودگی جدید کمپین Smoke Loader که به‌تازگی کشف شده است تلاش می‌کند اعتبارنامه‌ها را از چندین برنامه‌ی کاربردی از جمله، مرورگرهای وب، مشتری‌های (client) رایانامه و غیره به سرقت ببرد.
این حملات با رایانامه‌های مخرب حاوی سند Word که در آن پیوست شده است آغاز می‌شوند. بااستفاده از مهندسی اجتماعی، مهاجمان تلاش می‌کنند قربانیان را به بازکردن سند و اجرای ماکروی تعبیه‌شده فریب دهند. پس از اجرا، این ماکرو مرحله‌ی دوم را آغاز می‌کند و بدافزار TrickBot را دانلود می‌کند. این بدافزار درب‌پشتی Smoke Loader را دریافت می‌کند.
Smoke Loader مدت‌ها به عنوان دانلودکننده برای خانواده‌های بدافزاری مختلف از جمله تروجان‌های بانکداری، باج‌افزار و کاونده‌های ارز رمزمبنا استفاده می‌شد. در برخی از کمپین‌های قبلی، به عنوان dropper برای TrickBot نیز استفاده می‌شد؛ اما به نظر می‌رسد در حال حاضر شرایط فرق کرده است.
محققان امنیتی نشان می‌دهند که این نوع جدید درب‌پشتی از طریق لیست‌ فرایند‌ها برای یافتن یک فرایند به‌منظور تزریق کد تکرار نمی‌‌شود؛ اما در عوض واسط کاربری برنامه‌نویسی GetShellWindow را فرا می‌خواند، سپس GetWindowThreadProcessId را برای دریافت شناسه‌ی فرایند evfdxplorer.exe فراخوانی می‌کند. همچنین از روش PROPagate برای تزریق کد به اکسپلورر استفاده می‌کند. این بدافزار همچنین شامل یک سری روش‌های ضدتحلیلی به همراه بررسی‌های ضد اشکال‌زدایی و ضد ماشین مجازی (VM) است.
برخلاف حملات قبلی که در آن‌ها Smoke Loader عملیات خرابکارانه بیشتری راه‌اندازی می‌کرد، مشاهده شده است که این درب‌پشتی در این بدافزار در عوض 5 افزونه دریافت کرده است و هر افزونه در فرایند Explorer.exe خود اجرا می‌شود؛ اما روش‌های قبلی برای تزریق هر افزونه به آن فرایندها استفاده می‌شدند. این حمله در نهایت منجر به شش فرایند Explorer.exe در حال اجرا در ماشین آلوده می‌شود.
تمامی این افزونه‌ها برای سرقت اطلاعات حساس از ماشین قربانی طراحی شده‌اند و به صراحت اعتبارنامه‌های ذخیره‌شده و اطلاعات حساس منتقل‌شده در مرورگر را هدف قرار می‌دهند.
اولین افزونه شامل حدود 2000 تابع است و مرورگرهای FireFox، Internet Explorer، Chrome، Opera، QQ، Outlook، Thunderbird را برای سرقت داد‌های نام میزبان، نام کاربری و گذرواژه‌ها هدف قرار می‌دهد. علاوه‌براین، تلاش می‌کند اطلاعات را از Windows Credential Manager، همچنین اعتبارنامه‌های POP3، SMTP، IMAP به سرقت ببرد.
افزونه‌ی دوم دایرکتوری ها را برای یافتن فایل‌ها جستجو می‌کند تا آن‌ها را تجزیه و تحلیل و استخراج سازد. افزونه‌ی سوم برای ردیابی اعتبارنامه‌ها و کوکی‌ها به مرورگرها تزریق می‌شود. افزونه‌ی چهارم تلاش می‌کند اعتبارنامه‌ها را برای ftp، smtp، pop3 و imap به سرقت ببرد. پنجمین افزونه برای سرقت اعتبارنامه‌ها کد را به TeamViewer.exe تزریق می‌کند.
از آنجاییکه بازار تروجان و بات‌نت‌ها پیوسته در حال تغییر است و عاملین آن‌ها مدام در حال بهبود کیفیت و روش‌هایشان هستند تا قابلیت‌هایشان را برای دورزدن ابزارهای امنیتی افزایش دهند، لازم است به‌روزرسانی امنیتی در تمامی سیستم‌ها اعمال شود.