Провал мартовской кампании из-за Windows Defender заставил вирусописателей принять дополнительные меры.
Анализ новой версии трояна Smoke Loader, проведенный в НКО Spamhaus, показал, что этот зловред научился обнаруживать запуск в виртуальных средах, изменил технику заражения и обрел возможность атаковать 64-битные Windows.
Исследователи полагают, что все эти изменения спровоцировал провал мартовской криптоджекинг-кампании с участием Smoke Loader. Планы авторов агрессивной атаки, нацеленной на скрытую установку универсального майнера, расстроил антивирус Microsoft — Windows Defender. За 12 часов он зафиксировал в разных странах порядка 500 тыс. попыток заражения и сумел оперативно их пресечь.
Как обнаружили в Spamhaus, новый, совсем сырой, судя по артефактам в коде, образец Smoke Loader сильно отличается от тех, с которыми аналитики этой некоммерческой организации сталкивались ранее. Беглый просмотр обновленного кода сразу выявил нововведение — обфускацию, призванную затруднить статический анализ.
Более тщательный анализ показал неразрывную связь между упаковщиком и основной полезной нагрузкой. Упаковщик осуществляет загрузку выполняемого кода для запуска, а тот проверяет наличие определенных маркеров, создаваемых пакером.
Если Smoke Loader пытаются запустить в виртуальной машине или песочнице, он это сразу обнаруживает и не стартует. Зловред также отказывается работать на версиях Windows NT ниже шестой (Vista).
Техника внедрения кода радикально изменилась: если ранее троян использовал экзотический process hollowing, создавая новый экземпляр процесса Windows Explorer, то теперь он внедряется в уже запущенный explorer.exe, используя Windows-функцию SendNotifyMessage. Подобную технику, по словам аналитиков, применяет другой вредоносный загрузчик — PowerLoader.
Таким образом, финальная полезная нагрузка Smoke Loader запускается как поток, а не отдельным процессом. Его упаковщик создает проекцию общего файла, которая содержит различные данные о первичном заражении. Эта информация впоследствии используется выполняемым потоком.
Авторы зловреда также сменили алгоритм шифрования строковых данных: если ранее с этой целью выполнялись операции XOR, то ныне используется RC4. По этой более сложной схеме шифруются имена C&C-доменов и дополнительные модули (например, криптомайнер), отдаваемые командным сервером для расширения функциональности Smoke Loader. Шифруются по RC4 и те несколько команд, которые зловред выполняет: загрузить файл с указанного адреса, загрузить обновление, произвести деинсталляцию.
Специалисты Spamhaus отслеживают Smoke Loader с конца прошлого года и уже зарегистрировали свыше 8 тыс. сэмплов и более 1 тыс. центров управления, к которым те обращаются. Согласно наблюдениям, последнее время операторы этого трояна все чаще выбирают для размещения C&C нестандартные домены высшего уровня — descriptive TLD (описательные, с говорящим расширением вроде .camera, .lawyer, .shop). Уход из традиционных TLD-зон — родовых .com, .net или региональных — продиктован, видимо, стремлением продлить время жизни командной инфраструктуры активно эволюционирующего зловреда.