資安

公報

收到報價相關電子郵件請注意！可能是釣魚！惡意軟體SmokeLoader鎖定臺灣企業下手

因應

對策

今年5月，歐洲刑警組織與十多個國家的執法單位聯手，針對包含SmokeLoader在內的多款惡意程式載入工具（Loader）、殭屍網路，摧毀相關基礎設施，並逮捕嫌犯、凍結不法所得，但事隔數個月，這些駭客又再度從事攻擊行動，而且，這次疑似針對臺灣而來。

資安業者Fortinet指出，他們在今年9月看到新一波的SmokeLoader攻擊行動，駭客針對臺灣的製造業、醫療保健、資訊科技，以及其他領域的公司而來。值得留意的是，過往攻擊者將SmokeLoader作為散布其他惡意程式的管道，但在這起資安事故裡，駭客從C2伺服器下載其他的SmokeLoader外掛程式，以便進行後續的惡意活動。

攻擊者先是透過釣魚信對目標下手，他們假借提供報價的名義，要求收信人依照指示進行確認、回覆，一旦收信人開啟附件的報價資料檔案，電腦就有可能執行VBS指令碼，啟動惡意程式載入工具AndeLoader。

針對釣魚信挾帶的惡意附件Excel檔，攻擊者先是利用RCE漏洞CVE-2017-0199，觸發埋在試算表的惡意連結，自動下載另一個惡意檔案並開啟。

攻擊者下載的檔案大致分成2種，其中一種是Word檔案，此時攻擊者會觸發Office方程式編輯器的RCE漏洞CVE 2017-11882執行Shell Code，然後藉由特定API下載VBS檔案，執行AndeLoader。

而另一種則是HTML應用程式檔案（HTA），該檔案內含經過演算法處理的VBS程式碼，一旦執行，電腦就會解密VBS並執行PowerShell程式碼，下載與AndeLoader有關的VBS檔案。附帶一提的是，攻擊者為了擾亂研究人員分析，他們在VBS檔的符號及參數當中，加入大量空白。

但無論是那一種攻擊鏈，最終都是透過AndeLoader載入SmokeLoader，並載入對應的外掛程式竊取電腦的各種資料。研究人員總共發現有9款外掛程式，可供攻擊者從瀏覽器挖掘資料、自動填寫的內容，也可從Outlook和Thunderbird找尋特定的信件資料，此外，這些外掛也可從FileZilla、WinSCP蒐集帳密資料。

資料來源：iThome