SmokeLoader恶意软件再次出现，其功能增强，目标是您的个人数据。

Fortinet的FortiGuard实验室的网络安全研究人员发现了一系列针对台湾公司的新恶意软件攻击。这些攻击与SmokeLoader恶意软件有关，影响了从制造业、医疗保健到 IT 等各个行业。

SmokeLoader以其传播其他恶意负载的能力而闻名，它在这次活动中扮演了更直接的角色，使用自己的插件来执行攻击并窃取敏感数据。

根据FortiGuard实验室的研究，攻击始于包含恶意附件的网络钓鱼电子邮件，这些附件旨在利用Microsoft Office中的漏洞。这些漏洞包括CVE-2017-0199，可使恶意文档自动下载并执行有害负载，以及CVE-2017-11882，可利用Microsoft Office公式编辑器中的漏洞进行远程代码执行。

根据FortiGuard实验室分享的博客文章，这些电子邮件以台湾本地语言撰写，令人信服，但存在一些不一致之处，例如字体和配色方案不同，这表明文本是从其他地方抄袭而来。

一旦打开恶意附件，就会下载并执行SmokeLoader恶意软件，使其能够与其命令和控制(C2)服务器进行通信。从那里，恶意软件下载了各种插件，每个插件都旨在针对特定应用程序并提取敏感信息。

研究人员发现，SmokeLoader使用的插件针对的是流行的Web浏览器、电子邮件客户端和文件传输协议(FTP)软件，包括 Internet Explorer、Firefox、Chrome、Opera、Outlook、Thunderbird和FileZilla。该恶意软件能够从这些应用程序中提取登录凭据、自动填充数据，甚至电子邮件地址。

其中一个插件名为插件4，用于清除目标浏览器的Cookie，迫使受害者重新输入登录凭据。另一个插件名为插件8，用于将键盘记录代码注入explorer.exe，使恶意软件能够捕获键盘输入和剪贴板内容。

此外，研究人员还发现SmokeLoader恶意软件使用高级技术来逃避检测，包括代码混淆、反调试和沙盒逃避。其模块化设计使其能够适应不同的攻击场景，对组织构成巨大威胁。

FortiGuard实验室已检测并阻止了该恶意软件，并将其严重性级别定为“高”。该公司还为客户提供了保护措施，包括防病毒签名和IPS规则，以检测和预防恶意软件。

在评论中，位于加利福尼亚州旧金山的众包网络安全领导者Bugcrowd的创始人兼顾问Casey Ellis表示，使用SmokeLoader符合全球更广泛的网络攻击者通过提前渗透系统为未来攻击做准备的模式。

“考虑到地缘政治环境，台湾对高级持续性威胁(APT)并不陌生，而SmokeLoader的使用似乎符合我们在世界其他地区看到的预先定位的总体趋势。”

为了避免成为SmokeLoader恶意软件的受害者，务必对来自未知或可疑来源的电子邮件保持谨慎。不要点击链接或下载附件，尤其是当它们提示您启用宏或运行文件时。

如果您不确定某封电子邮件，即使它来自熟悉的来源，也请仔细检查其内容。使用VirusTotal等工具或系统的安全软件扫描链接、文件和附件，以确保它们是安全的。