O malware SmokeLoader, reconhecido por sua versatilidade e avançadas técnicas de evasão, está sendo usado em uma nova campanha direcionada aos setores de manufatura, saúde e tecnologia da informação em Taiwan. De acordo com a análise da Fortinet FortiGuard Labs, o malware está sendo empregado para realizar ataques diretos, baixando plugins de servidores de comando e controle (C2) para executar ações maliciosas em sistemas comprometidos.

Originalmente projetado como um downloader secundário, o SmokeLoader evoluiu para realizar tarefas como roubo de dados, ataques de negação de serviço (DDoS) e mineração de criptomoedas. Ele possui recursos avançados, como detecção de ambientes de análise, geração de tráfego falso e uso de técnicas de ofuscação, dificultando sua identificação por ferramentas de segurança.

Embora a operação Endgame, liderada pela Europol em maio de 2024, tenha derrubado mais de 1.000 domínios C2 relacionados a várias famílias de malware, reduzindo significativamente a atividade do SmokeLoader, o malware ainda é amplamente utilizado devido à disponibilidade de versões crackeadas em fóruns online.

Na campanha recente em Taiwan, os ataques começam com e-mails de phishing que contêm anexos no formato Microsoft Excel. Esses arquivos exploram vulnerabilidades antigas, como CVE-2017-0199 e CVE-2017-11882, para instalar o Ande Loader, um carregador de malware que, por sua vez, implanta o SmokeLoader no sistema alvo.

“Essa campanha demonstra a flexibilidade do SmokeLoader e reforça a necessidade de os analistas de segurança permanecerem atentos, mesmo ao lidar com malwares conhecidos”, destacou a Fortinet em sua análise.