SmokeLoader Backdoor (Trojan:Win32/SmokeLoader) – Analisi e Descrizione

Written by Robert Bailey

SmokeLoader è un sofisticato malware backdoor noto per il suo design modulare, che gli conferisce una vasta gamma di capacità malevole a seconda dei moduli specifici inclusi nella sua versione. Spesso associato a attività criminali, questo malware viene distribuito attraverso vari metodi, come lo sfruttamento delle vulnerabilità del software o l’utilizzo di tecniche di phishing per ingannare gli utenti affinché eseguano il suo payload.

È importante notare che SmokeLoader utilizza tattiche per nascondere le sue attività di controllo e comando (C2), inclusa la generazione di richieste a siti legittimi come microsoft.com e bing.com, contribuendo ai suoi sforzi per evitare la rilevazione. Nonostante le risposte di errore 404 da questi siti, il corpo della risposta contiene comunque dati rilevanti per le operazioni del malware. Questi attributi contribuiscono collettivamente all’efficacia di SmokeLoader nel facilitare l’accesso non autorizzato, il furto di dati e altri tentativi di cybercriminalità.

Il backdoor SmokeLoader viene spesso distribuito attraverso vari mezzi, tra cui email di spam, siti web malevoli o tecniche di ingegneria sociale. Una volta infiltrato un sistema, stabilisce la persistenza e cerca di contattare server di controllo e comando remoti per ricevere ulteriori istruzioni e scaricare malware aggiuntivo.

Le azioni specifiche eseguite da Trojan:Win32/SmokeLoader possono variare a seconda della versione e della configurazione del malware. Le attività comuni associate a SmokeLoader includono:

  • Scaricare e installare altri malware, come banking Trojans, ransomware o strumenti di furto di informazioni.
  • Modificare le impostazioni di sistema per raggiungere la persistenza ed eludere la rilevazione da parte del software di sicurezza.
  • Catturare informazioni sensibili, come credenziali di accesso, tasti premuti o dati personali.
  • Aggiornarsi o ricevere nuove istruzioni dai server di controllo e comando.

Trojan:Win32/SmokeLoader rappresenta una minaccia significativa per la sicurezza e la privacy dei sistemi infetti. È essenziale avere un software antivirus aggiornato installato e scansionare regolarmente il sistema alla ricerca di segni di malware. Inoltre, adottare abitudini di navigazione sicura, essere cauti con gli allegati e i download delle email e mantenere il sistema operativo e le applicazioni aggiornati può contribuire a mitigare il rischio di infezione.

Recensione di GridinSoft Anti-Malware
È meglio prevenire che curare e pentirsi!
Quando parliamo dell'intrusione di programmi sconosciuti nel funzionamento del tuo computer, il proverbio "Chi è avvertito è armato" descrive la situazione nel modo più accurato possibile. Gridinsoft Anti-Malware è esattamente lo strumento che è sempre utile avere nel tuo arsenale: veloce, efficiente, aggiornato. È opportuno utilizzarlo come aiuto d'emergenza al minimo sospetto di infezione.
Prova di 6 giorni di disponibile.
EULA | Informativa sulla privacy | 10% Off Coupon
Iscriviti al nostro canale Telegram per essere il primo a conoscere le novità e i nostri materiali esclusivi sulla sicurezza dell'informazione.

Descrizione di SmokeLoader

Il backdoor SmokeLoader è comparso per la prima volta nel 2014 – all’inizio dell’era dei ransomware. Solo pochi altri malware possono vantare di rimanere attivi per 8 anni dopo il loro lancio. Questo backdoor ha molte caratteristiche che gli consentono di rimanere attuale nonostante la sua età. Innanzitutto, è estremamente piccolo – il payload è di soli circa 30 chilobyte. I malware regolari di questo tipo di solito hanno una dimensione di file di almeno 100 KB, di solito intorno a 150-200 chilobyte. Questo lo rende già molto più facile da gestire in un sistema protetto, poiché alcune regole YARA utilizzate per la rilevazione dei malware tengono conto della dimensione del file.

Offerta per acquistare SmokeLoader sul forum Darknet

Offerta per acquistare SmokeLoader sul forum Darknet

Un’altra caratteristica che lo distingue dagli altri è che è scritto nei linguaggi C e Assembly. Entrambi sono a basso livello, il che indica la loro capacità di scavare molto in profondità nel sistema. Il codice esatto di questo backdoor è pesantemente offuscato. Era una misura efficace contro i programmi anti-malware, ma oggi qualsiasi tipo di offuscamento rilevato viene considerato pericoloso. Questi giorni, rende solo più difficile eseguire l’ingegneria inversa di questo malware.

Le caratteristiche chiave di questo backdoor sono incentrate sulle sue funzioni di caricamento, come potresti aver supposto dal suo nome. La stragrande maggioranza delle volte, SmokeLoader viene utilizzato per consegnare altri malware al sistema infetto. Tuttavia, non è l’unico scopo di questo malware: lo sviluppo continuo ha portato alla capacità di usarlo come strumento di furto. Si adatta anche alla distribuzione di botnet – ma ci sono solo pochi casi di tale utilizzo. Riceve ancora aggiornamenti ogni anno, quindi le sue funzionalità potrebbero estendersi in futuro.

Cos’è il malware backdoor?

Prima di entrare nell’analisi di SmokeLoader, diamo uno sguardo a cosa sono i backdoor. Questo tipo di malware ha una storia lunga e tortuosa ed è considerato un eminente anziano. L’obiettivo principale del malware backdoor è creare un modo per i cybercriminali di connettersi in remoto al PC di destinazione e eseguire qualsiasi azione possibile. A tal fine, non disdegnano mai di sfruttare le vulnerabilità nel sistema di destinazione, oltre a iniettarsi nel sistema come un trojan.

L’uso principale dei computer infetti da backdoor è la loro partecipazione alla botnet. Enormi reti di sistemi zombie che eseguono attacchi DDoS, inviano email di spam e svolgono altre attività illecite sono ben noti nell’ultimo decennio. A tal fine, i malintenzionati utilizzano backdoor automatizzati: quelli che richiedono comandi minimi dal server di controllo e comando e possono funzionare autonomamente. L’altro utilizzo di un backdoor – precisamente, quello controllato manualmente – è il furto di dati e l’implementazione di malware. Poiché in quest’ultimo caso il backdoor agisce come locomotiva per il payload dannoso, talvolta è classificato come un worm.

Analisi tecnica di SmokeLoader

Il pacchetto iniziale del malware SmokeLoader contiene solo funzionalità di base – fornire la connessione remota al PC infetto. Il furto di dati, il monitoraggio dei processi, il modulo DDoS e così via dovrebbero essere installati successivamente. Nel complesso, l’ingegneria inversa mostra che ci sono 9 diversi moduli che SmokeLoader può gestire contemporaneamente.

Nome del moduloFunzionalità
Form grabberOsserva le finestre aperte per rilevare i moduli e catturare le credenziali
Password snifferMonitora i pacchetti Internet in ingresso e in uscita per rilevare le credenziali
Fake DNSModulo per falsificare le richieste DNS. Porta alla ridirezionamento del traffico al sito desiderato
KeyloggerRegistra tutte le pressioni dei tasti nell’ambiente infetto
ProcmonModulo di monitoraggio dei processi, registra i processi in esecuzione nel sistema
Ricerca di fileStrumento di ricerca di file
Email grabberCattura la rubrica degli indirizzi di Microsoft Outlook
PC remotoCapacità di stabilire un controllo remoto simile alle utilità di accesso remoto (come TeamViewer)
DDoSForza il PC infetto a partecipare a attacchi DDoS sul server designato

Il payload di questo malware viene sempre confezionato in modo unico. Un singolo esemplare è utilizzato da un piccolo gruppo di utenti, quindi trovare gli stessi campioni nel mondo reale non è così facile. Tuttavia, questa tecnologia non è qualcosa di nuovo: la maggior parte dei malware fa la stessa cosa e alcuni generano persino un campione univocamente confezionato per ogni attacco. Inoltre, oltre all’impacchettamento iniziale, c’è una richiesta da parte dei distributori di eseguire una compressione o crittografia aggiuntiva prima dell’iniezione. Questa è, esattamente, l’altra catena di misure anti-rilevamento.

Il sistema di destinazione riceve il campione di SmokeLoader completamente confezionato – è ciò che si trova sul disco. Tutte le fasi successive vengono eseguite nella memoria del sistema, quindi le scansioni con software anti-malware obsoleti rileveranno solo un campione profondamente confezionato. La prima fase dell’esecuzione di SmokeLoader include un importante controllo obbligatorio – la posizione del sistema attaccato. Questo malware non può essere eseguito nella Comunità degli Stati Indipendenti, indipendentemente dalle impostazioni effettuate prima dell’iniezione. Altri controlli includono la scansione di macchine virtuali e la rilevazione di sandbox. Se tutto è superato, il malware viene completamente scompattato e avviato nel solito modo.

Mentre è in esecuzione, SmokeLoader applica una tecnica di offuscamento piuttosto unica. Conserva quasi l’80% del suo codice criptato durante l’intero periodo di esecuzione. Quando ha bisogno di utilizzare un’altra funzione, la decifra mentre cifra l’elemento utilizzato in precedenza. Le regole YARA, insieme all’ingegneria inversa classica, risultano essere quasi inutili contro un tale trucco. Ha payload a 32 bit e 64 bit che vengono caricati nei sistemi con architetture corrispondenti durante il controllo dalla fase iniziale all’esecuzione finale.

Crittografia e offuscamento di SmokeLoader

Criptaggio del codice in SmokeLoader

L’exact file che viene mantenuto in memoria durante l’esecuzione di SmokeLoader non è un file eseguibile valido, poiché manca l’intestazione PE. In realtà, il codice del backdoor è rappresentato come un codice shell e quindi dovrebbe trovare un modo per essere eseguito manualmente. In generale, i comandi di routine eseguiti da SmokeLoader, come le chiamate a C&C o i download, vengono eseguiti attraverso le iniezioni DLL. Ovviamente, ciò è richiesto per mantenere la stealthiness. Molto spesso, questa fase include iniezioni DLL o chiamate console che vengono fatte dal nome di un altro programma. Gli hacker che gestiscono SmokeLoader possono inviare il file .exe del malware che desiderano installare e specificare l’URL da cui il backdoor può ottenere questo file.

Analisi dell'intestazione di SmokeLoader .exe

L’intestazione del file .exe di SmokeLoader è assente: non è un file eseguibile valido

Cos’è il rilevamento di Trojan:Win32/SmokeLoader?

Il rilevamento di Trojan:Win32/SmokeLoader che puoi vedere nell’angolo in basso a destra ti viene mostrato da Microsoft Defender. Questo programma anti-malware è abbastanza buono nella scansione, ma tende ad essere fondamentalmente inaffidabile. È vulnerabile agli attacchi di malware ed è dotato di un’interfaccia utente con problemi e funzionalità di rimozione dei malware difettose. Pertanto, il popup che indica il rilevamento di SmokeLoader è piuttosto una notifica che Defender lo ha riconosciuto. Per rimuoverlo, probabilmente dovrai usare un altro programma anti-malware.

Trojan:Win32/SmokeLoader found

Microsoft Defender: “Trojan:Win32/SmokeLoader”

L’exact malware Trojan:Win32/SmokeLoader è una cosa molto sgradevole. Questo malware è progettato per essere un ladro furtivo, che funziona come uno strumento di accesso remoto. Quando dai a qualcuno l’accesso remoto volontariamente, va bene, tuttavia, SmokeLoader non ti chiederà se desideri concederlo. Dopo essersi connessi al tuo computer, i criminali sono liberi di fare ciò che vogliono: rubare i tuoi file, controllare i tuoi messaggi, raccogliere dati personali, eccetera. I backdoor spesso portano con sé un ladro supplementare: un virus progettato per raccogliere tutte le informazioni disponibili su di te. Tuttavia, l’uso più comune dei backdoor è la creazione di una botnet. Dopo di che, la rete di computer infetti può essere utilizzata per eseguire attacchi DDoS o per gonfiare i risultati dei voti su vari siti web.

Riepilogo del Backdoor:

NomeSmokeLoader Backdoor
RilevamentoTrojan:Win32/SmokeLoader
DannoOttiene accesso al sistema operativo per eseguire varie azioni dannose.
SimiliMsil Androme, Lotok, Quasarrat, Asyncrat, Msil Dcrat, Rewritehttp, Msil Darkcommet
Strumento di RiparazioneVerifica se il tuo sistema è stato infettato dal Backdoor SmokeLoader

Caratteristiche specifiche del Backdoor SmokeLoader

  • Il file binario contiene probabilmente dati crittografati o compressi. In questo caso, la crittografia è un modo per nascondere il codice del virus dagli antivirus e dagli analisti dei virus.
  • L’eseguibile è compresso con UPX;
  • Caratteristiche binarie anomale. Questo è un modo per nascondere il codice del virus dagli antivirus e dagli analisti dei virus.
Nomi di rilevamento
GridinSoftTrojan.Ransom.Gen
Elasticmalicious (high confidence)
DrWebTrojan.Siggen8.17135
MicroWorld-eScanTrojan.Agent.EEGO
FireEyeGeneric.mg.0f426649f19c07fd
McAfeeArtemis!0F426649F19C
CylanceUnsafe
SangforMalware
K7AntiVirusTrojan ( 005582711 )
BitDefenderTrojan.Agent.EEGO
K7GWTrojan ( 005582711 )
Cybereasonmalicious.9f19c0
TrendMicroRansom.Win64.PORNOASSET.SM1.hp
BitDefenderThetaGen:NN.ZedlaF.34590.mu4@au9HqIoi
CyrenW32/S-d757aa55!Eldorado
SymantecMeterpreter
TrendMicro-HouseCallRansom.Win64.PORNOASSET.SM1.hp
AvastWin32:Miner-DM [Trj]
ClamAVWin.Trojan.CobaltStrike-8091534-0
KasperskyHEUR:Trojan.Win32.Cometer.gen
NANO-AntivirusTrojan.Win32.Cometer.eqcglk
TencentMalware.Win32.Gencirc.10b0cd02
Ad-AwareTrojan.Agent.EEGO
SophosMal/Swrort-Y
F-SecureTrojan.TR/Crypt.XPACK.Gen
ZillyaTrojan.PornoAssetGen.Win32.1
InvinceaML/PE-A
McAfee-GW-EditionBehavesLike.Win64.BadFile.rc
EmsisoftTrojan.Agent.EEGO (B)
IkarusTrojan-Spy.Agent
JiangminTrojan.PornoAsset.gbu
eGambitTrojan.Generic
AviraTR/Crypt.XPACK.Gen
Antiy-AVLTrojan[Banker]/Win32.Emotet
MicrosoftTrojan:Win32/SmokeLoader
GridinsoftTrojan.Keylogger.B.sd!yf
ArcabitTrojan.Agent.EEGO
ZoneAlarmHEUR:Trojan.Win32.Cometer.gen
GDataTrojan.Agent.EEGO
CynetMalicious (score: 100)
AhnLab-V3Trojan/Win64.Kryptik.R291657
Acronissuspicious
VBA32Trojan.Cometer
ALYacTrojan.Agent.EEGO
MAXmalware (ai score=83)
MalwarebytesRansom.FileCryptor
APEXMalicious
ESET-NOD32a variant of Win64/Filecoder.A
RisingBackdoor.CobaltStrike!1.CEA8 (CLASSIC)
YandexTrojan.GenAsa!ljywjnZY6TE
FortinetW64/ReposFxg.F!tr
AVGWin32:Miner-DM [Trj]
Brevemente sui backdoor

I backdoor sono virus che possono assumere forme separate o integrate. Una volta che scopri che un programma legittimo sviluppato da un noto sviluppatore ha la capacità di consentire a qualcuno di connettersi al tuo PC. Che si tratti dei creatori o di terze parti, nessuno lo sa. Ma lo scandalo quando questo dettaglio viene scoperto in un programma legittimo è probabilmente impossibile da ignorare. C’è anche il chiacchiericcio che esista un backdoor basato sull’hardware nei processori Intel.

È pericoloso Trojan:Win32/SmokeLoader?

Come ho già detto, non esistono malware innocui. E Trojan:Win32/SmokeLoader non fa eccezione. Questo backdoor non causa molti danni subito dopo l’infezione. Tuttavia, potrebbe essere davvero spiacevole scoprire che un forum casuale o una pagina web non ti permette di accedere, poiché il tuo indirizzo IP è stato bloccato a seguito di un attacco DDoS. Tuttavia, anche se non è fondamentale per te, è positivo sapere che qualcun altro può facilmente accedere al tuo computer, leggere le tue conversazioni, aprire i tuoi documenti e osservare cosa fai?

Lo spyware che spesso accompagna il virus Trojan:Win32/SmokeLoader sarà probabilmente solo un altro motivo per rimuoverlo il più velocemente possibile. Oggi, quando le informazioni degli utenti hanno un valore estremamente elevato, è troppo sciocco dare ai criminali informatici una tale opportunità. Ancora peggio se lo spyware riuscirà in qualche modo a rubare le tue informazioni finanziarie. Vedere un saldo bancario di 0 è il peggiore degli incubi, a mio avviso.

Distribuzione del malware SmokeLoader

Le principali modalità di diffusione di SmokeLoader si basano su spam email, software pirata e keygen. La prima è comune, poiché è molto più semplice e comunque abbastanza efficace. In questo caso, il malware si nasconde nell’allegato – di solito un file MS Word o MS Excel. Quel file contiene macro e se consenti l’esecuzione delle macro come richiesto, si collegherà a un server di comando e riceverà il carico utile (in realtà, solo un SmokeBot). Tuttavia, gli analisti affermano che SmokeLoader appare più spesso attraverso il link malevolo allegato a tale messaggio. Il sito a cui si riferisce il link potrebbe contenere un exploit, in particolare una tecnica di cross-site scripting.

Email spam

Esempio di spam email. Il file contiene macro maligne

Nascondere il malware all’interno di applicazioni crackate o keygen/hacktool è leggermente più difficile ma ha un potenziale molto più ampio. Poiché l’uso di software non autorizzato è ancora diffuso, molte persone potrebbero essere in pericolo. Non tutte le app crackate contengono malware, ma tutte sono illegali, sia per gli utenti che per i creatori. Usandole, potresti trovarti di fronte a denunce per violazioni di copyright. E essere infettati da malware in questo caso è ancora più spiacevole.

Quando si tratta di infezioni da malware, l’aspetto di SmokeLoader di solito porta all’installazione di varie altre app maligne. I criminali che sono riusciti a creare una botnet offrono poi ad altri distributori di malware di infettare quei computer con qualsiasi cosa vogliano. Questo può essere adware, browser hijacker, spyware, ransomware – non ci sono letteralmente restrizioni. Dietro a una grande quantità di virus, gli esperti di sicurezza informatica spesso perdono l’origine di tutto questo caos, così SmokeLoader rimane indisturbato.

Offerte di distribuzione malware di Smokeloader

SmokeLoader è offerto come strumento di distribuzione malware su forum

Un caso separato di diffusione, in cui SmokeLoader non agisce come precursore, è la sua combinazione con il ransomware STOP/Djvu. In effetti, il bundle di malware consegnato al dispositivo include i furfanti RedLine e Vidar. Il primo mira alle credenziali bancarie, il secondo alle informazioni sui portafogli criptati. In questo o in un altro modo, Djvu rappresenta una quota significativa nella diffusione di SmokeLoader, poiché è uno dei ransomware più diffusi nella sua categoria.

Come rimuovere SmokeLoader?

Scarica GridinSoft Anti-Malware[/su_button]

Rimuovi i virus con GridinSoft Anti-Malware

Processo di scansione di SmokeLoader

  • La scansione standard controlla il disco logico dove sono archiviati i file di sistema, insieme ai file dei programmi che hai già installato. La scansione dura fino a 6 minuti.
  • Risultati della scansione di SmokeLoader

  • Quando la scansione è terminata, puoi scegliere l’azione da intraprendere per ogni virus rilevato. Per tutti i file di SmokeLoader l’opzione predefinita è “Elimina”. Premi “Applica” per completare la rimozione del malware.
  • SmokeLoader - Dopo la Pulizia

    SmokeLoader IoC

    Sending
    User Review
    5 (1 vote)
    Comments Rating 0 (0 reviews)

    Inglese Tedesco Giapponese Spagnolo Portoghese, Brasile Francese Turco Cinese tradizionale Coreano Indonesiano Hindi

    About the author

    Robert Bailey

    I'm Robert Bailey, a passionate Security Engineer with a deep fascination for all things related to malware, reverse engineering, and white hat ethical hacking.

    As a white hat hacker, I firmly believe in the power of ethical hacking to bolster security measures. By identifying vulnerabilities and providing solutions, I contribute to the proactive defense of digital infrastructures.

    Leave a Reply

    Sending