Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Ukraines største bank ramt af SmokeLoader-malware

PrivatBank ramt af SmokeLoader-malware i et phishing-angreb, der udnytter en 7-Zip-sårbarhed. Find ud af, hvordan det fungerer, og hvordan du beskytter dig.

07-02-2025 - 7 minutters læsning. Under kategorien: cybercrime.

Ukraines største bank ramt af SmokeLoader-malware

PrivatBank ramt af SmokeLoader-malware i phishing-angreb

I en nylig cybertrussel mod Ukraines finansielle sektor har hackere lanceret et omfattende phishing-angreb mod kunder i landets største statsejede bank, PrivatBank. Cyberkriminelle anvendte den berygtede SmokeLoader-malware til at etablere bagdøre på inficerede systemer og downloade yderligere skadelig software. Angrebet demonstrerede en høj grad af sofistikering og blev først identificeret af cybersikkerhedsfirmaet CloudSEK, som analyserede kampagnens metoder og mål.

Hvordan Smokeloader Malware-angrebet udfoldede sig

Angrebet blev udført gennem en målrettet phishing-kampagne, hvor ofrene modtog falske e-mails med ondsindede vedhæftede filer. Disse filer var typisk password-beskyttede ZIP- eller RAR-arkiver, der indeholdt JavaScript-, VBScript- eller LNK-filer (Windows-genveje), designet til at undgå detektion og starte infektionen.

Når en bruger åbnede arkivet og indtastede den angivne adgangskode, blev en kæde af skadelige handlinger aktiveret:

  1. Kodeinjektion: Det ondsindede script injicerede skadelig kode i en legitim Windows-proces, såsom wscript.exe, for at omgå sikkerhedssystem.

  2. PowerShell-kommandoer: En skjult PowerShell-kommando blev aktiveret og udførte to centrale handlinger:

  • Et legitimt udseende PDF-dokument blev åbnet for at aflede brugerens mistanke.

  • En baggrundsproces blev startet, som kontaktede en ekstern Command-and-Control (C2)-server og downloadede SmokeLoader-malwaren.

  1. Aktivering af SmokeLoader: Når SmokeLoader var installeret, fungerede den som downloader for yderligere ondsindet software, herunder trojanske heste, keyloggere og ransomware.

En nyere variant af dette angreb er blevet observeret, hvor hackere udnytter Windows-genvejsfiler (LNK-filer) som lokkemidler. Når en bruger åbner en sådan fil, aktiveres en skjult PowerShell-kommando, der automatisk henter og eksekverer malwaren direkte fra hackerens server.

Første infektion: Phishing-angreb

Phishing-angreb er en af de mest anvendte metoder, som cyberkriminelle benytter til at sprede SmokeLoader-malware. Disse angreb sker typisk gennem e-mails med ondsindede vedhæftede filer eller links. Når modtageren åbner filen eller klikker på linket, downloades malwaren automatisk til enheden. Phishing-e-mails er ofte designet til at ligne legitime beskeder, hvilket gør det svært for Windows-brugere at skelne dem fra ægte kommunikation.

For at beskytte sig mod phishing-angreb er det afgørende at være skeptisk over for uopfordrede e-mails – især dem, der indeholder vedhæftede filer eller links. Brug af avanceret antivirussoftware kan hjælpe med at identificere og blokere skadelige e-mails, mens løbende opdatering af operativsystemet og software minimerer risikoen for udnyttelse af sårbarheder, som hackere kan udnytte.

Er du usikker på, hvordan phishing fungerer? Læs vores guide om phishing og dens farer her.

SmokeLoader-malware: Indikatorer på kompromittering

SmokeLoader er en berygtet malware, der har været aktiv siden 2011 og tilhører en bredere familie af skadelig software. Den bruges primært til at infiltrere computere og downloade yderligere malware, herunder trojanske heste, keyloggere og ransomware. SmokeLoader er særligt kendt for sine avancerede undvigelsesteknikker, såsom:

  • Skjuler sig i legitim software

  • Dynamisk ændring af sin kode for at undgå detektion af antivirusprogrammer

  • Manipulation af systemprocesser for at omgå sikkerhedsværktøjer

CloudSEK’s forskning har også afsløret, at hackere udnytter en kendt sårbarhed i 7-Zip, et populært open source-filarkiveringsværktøj udviklet af den russiske programmør Igor Pavlov. SmokeLoader kan desuden installere password-stealere, der er designet til at indsamle og overføre følsomme oplysninger som loginoplysninger.

Den sårbarhed, der udnyttes – identificeret som CVE-2025-0411 – blev opdaget af forskere hos Tokyo-baserede Trend Micro i september og først lappet to måneder senere. Denne forsinkelse gav hackere rig mulighed for at udnytte sårbarheden i angreb.

Malware-adfærd: PROPagate-injektionsteknik

SmokeLoader anvender den avancerede PROPagate-injektionsteknik til at injicere ondsindet kode i legitime Windows-processer. Denne metode udnytter Windows SetWindowsSubclass-funktionen til at indsætte skadelig kode i aktive processer, hvilket gør det muligt for malwaren at skjule sin aktivitet og misbruge den inficerede proces’ tilladelser.

PROPagate-injektion er en særligt sofistikeret teknik, der gør det vanskeligt at opdage og analysere SmokeLoader. For at beskytte sig mod sådanne avancerede angrebsmetoder er det afgørende at have robuste trusselsintelligenssystemer og sikkerhedsforanstaltninger på plads, så ondsindet aktivitet kan identificeres og blokeres i realtid.

Forbindelse til UAC-0006 og FIN7-trusselsaktører

Cybersikkerhedseksperter vurderer, at dette angreb muligvis er udført af UAC-0006, en cyberkriminel gruppe, der har været aktiv i flere år. De anvendte metoder ligner i høj grad tidligere angreb tilskrevet gruppen, som især har været rettet mod finansielle institutioner i Ukraine.

Desuden viser angrebet klare ligheder med taktikker anvendt af den russisk-forbundne hackergruppe FIN7 (også kendt som Carbanak eller Anunak). FIN7 er kendt for sine avancerede cyberangreb mod banker og detailvirksomheder på globalt plan og har specialiseret sig i sofistikerede phishing-kampagner.

Kommunikation og C2: Krypterede kommando- og kontrolservere

SmokeLoader-malwaren anvender krypterede kommando- og kontrolservere (C2) til at opretholde kommunikation med sine operatører. For at beskytte denne infrastruktur benytter malwaren en brugerdefineret XOR-baseret dekrypteringsalgoritme til at dekryptere listen over krypterede C2'er. Denne mekanisme er designet til at forhindre andre trusselsaktører i at manipulere malwaren ved at ændre eller tilføje nye C2-servere.

Brugen af krypterede C2'er gør det væsentligt mere udfordrende at spore og afbryde SmokeLoaders kommunikation. Dog kan sikkerhedsforskere og threat intelligence-teams analysere malwarens kommunikationsmønstre og indikatorer for kompromittering (IOC'er) for at opdage og blokere ondsindet aktivitet mere effektivt.

Hvilken trussel udgør phishing-angreb?

Angrebet på PrivatBank er en del af en bredere tendens, hvor cyberkriminelle målretter sig mod kritisk infrastruktur i Ukraine. SmokeLoader-malwaren spiller en central rolle i spredningen af andre malware-familier, hvilket forværrer den samlede trusselsituation. Når SmokeLoader inficerer en enhed, giver den hackere en bagdør, der kan føre til alvorlige konsekvenser, herunder:

  • Finansielt tyveri: Hackere kan tilgå følsomme bankoplysninger og gennemføre uautoriserede transaktioner.

  • Dataindsamling: Cyberkriminelle kan overvåge brugeraktivitet og stjæle personlige data.

  • Ransomware-angreb: SmokeLoader kan downloade ransomware, som krypterer offerets filer og kræver en løsesum for at genskabe adgangen.

Den seneste stigning i SmokeLoader-infektioner understreger behovet for avancerede detektionsteknologier til at opdage og afværge disse trusler.

Vil du vide mere om, hvordan ransomware fungerer, og hvordan du kan beskytte dig selv? Læs vores guide om ransomware-angreb og deres konsekvenser.

Sådan beskytter du dig mod SmokeLoader-angreb

For at minimere risikoen for SmokeLoader-infektioner bør både organisationer og enkeltpersoner implementere følgende sikkerhedsforanstaltninger:

  • Vær skeptisk over for e-mails fra ukendte afsendere: Undgå at åbne vedhæftede filer eller klikke på links i mistænkelige e-mails.

  • Aktiver multifaktorgodkendelse (MFA): Selv hvis loginoplysninger kompromitteres, kan MFA forhindre uautoriseret adgang.

  • Hold software opdateret: Sørg for, at operativsystemer, applikationer og antivirusprogrammer er ajourført for at beskytte mod kendte sårbarheder.

  • Brug avancerede sikkerhedsværktøjer: Implementer intrusion detection systems (IDS) og endpoint detection and response (EDR) for at identificere og blokere mistænkelig aktivitet. Forståelse af Process Environment Block (PEB) kan hjælpe med at opdage malware, der dynamisk tilgår systembiblioteker under kørslen.

  • Begræns brugernes adgangsrettigheder: Anvend princippet om Principle of least privilege, så brugere kun har adgang til de nødvendige systemer og data.

  • Overvåg netværkstrafikken: Identificér og bloker usædvanlige forbindelser til kendte Command-and-Control (C2)-servere for at forhindre ondsindet kommunikation.

Disse tiltag kan markant reducere risikoen for SmokeLoader-angreb og andre typer malware.

Konklusion

Angrebet på PrivatBank understreger den voksende trussel, som cyberkriminelle udgør for finansielle institutioner – særligt i krigstid i Ukraine, hvor statsstøttede hackere ofte er aktive. Med stadig mere sofistikerede angrebsmønstre er det afgørende, at organisationer tager cybersikkerhed alvorligt og implementerer robuste forsvarsmekanismer.

For at få en dybere forståelse af, hvordan statsstøttede hackergrupper påvirker cyberkrigsførelse, kan du læse vores guide om statssponsoreret cyberangreb.

Det seneste SmokeLoader-angreb er endnu en påmindelse om, hvor vigtigt det er at være opmærksom på phishing-trusler og sikre, at stærke sikkerhedsforanstaltninger er på plads. Hvis din organisation endnu ikke har implementeret en omfattende sikkerhedsstrategi, er det nu tid til at styrke din cybersikkerhedsstilling.

Forfatter Sarah Krarup

Sarah Krarup

Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.

Se alle indlæg af Sarah Krarup

Lignende indlæg

Malvertising: En ondsindet reklame
hacking

Malvertising: En ondsindet reklame

Vi kan ikke undgå at støde på reklamer, når vi begår os på internettet. Men de reklamer vi ser, kan gemme på ondsindet malware, som vi selvfølgelig vil undgå.

12-07-2023 · 6 min.
NotPetya: Den globale cyberpandemi
case

NotPetya: Den globale cyberpandemi

NotPetya er en af de mest ødelæggende cyberangreb verden har set - det ændrede måden hvorpå virksomheder implementerer cybersikkerhed.

21-11-2023 · 5 min.
CSPM vs SSPM: Forstå forskellene
tips

CSPM vs SSPM: Forstå forskellene

Vi sammenligner, CSPM og SSPM, så du kan få et overblik over hvordan de to fungerer og hvad man skal overveje før og efter man implementerer dem.

08-06-2023 · 5 min.