s0226-smokeloader - RunkIntel

# SmokeLoader - Loader Modular com 14 Anos de Persistência > **ATIVO | Loader Modular | Windows | Global** - SmokeLoader e um dos malwares mais longevos do cenário de ameaças, ativo desde 2011 e em constante evolução. Funciona como downloader modular de segunda etapa para trojans, ransomware e infostealers. Em 2025, retornou com nova versao (2025 alpha) após a Operation Endgame (mai/2024) ter temporariamente suprimido sua atividade. ## Visão Geral **SmokeLoader** (aliases: Smoke Bot, Dofoil) e um loader botnet modular anunciado em fóruns criminosos desde pelo menos 2011. Sua longevidade e notavel: ao longo de 14+ anos, o malware passou por múltiplas iteracoes (versoes 2018, 2019, 2022, 2025 alpha, 2025), incorporando correccoes de bugs e novas técnicas de evasão a cada ciclo. E distribuido como Malware-as-a-Service (MaaS) por um desenvolvedor nao identificado. O SmokeLoader e amplamente empregado pelo grupo **UAC-0006** em campanhas contra organizacoes ucranianas desde 2023-2024, e mais recentemente observado em campanhas contra Taiwan (2024) e como vetor do [[s1242-agenda-ransomware|Agenda ransomware]] (Q1 2025) através de um loader intermediario chamado NETXLOADER. | Campo | Detalhe | |-------|---------| | **Tipo** | Loader Modular + Bot | | **Arquitetura** | Stager + Main Module (separados) | | **Primeira observacao** | 2011 | | **Status** | Ativo - versao 2025 confirmada (Zscaler ThreatLabz) | | **Distribuição** | MaaS em fóruns underground | | **Operação de disrupcao** | Operation Endgame (mai/2024) - parcialmente suprimido | ## Como Funciona ### Arquitetura em Dois Estagios O SmokeLoader divide-se em dois componentes que operam em sequencia: **Stager**: Tem tres responsabilidades - (1) dificultar análise com anti-debugging/anti-VM, (2) detectar ambientes virtuais e terminar se detectado, e (3) injetar o módulo principal em `explorer.exe` via Process Hollowing. A versao 2025 alpha adicionou verificação de mutex para evitar injecoes múltiplas (correcao de bug critico que causava degradacao de desempenho). **Main Module**: Assume o controle após a injecao em explorer.exe. Responsavel por: estabelecer persistência (Scheduled Task + Registro), beacon ao servidor C2 via HTTP, executar tarefas e plugins recebidos. ### Framework de Plugins O SmokeLoader possui extensoes opcionais que expandem suas capacidades: - **Stealer de credenciais**: navegadores, e-mail (Outlook, Thunderbird), FTP (FileZilla, WinSCP) - **Keylogger**: captura de teclas pressionadas - **Roubo de cookies e sessoes HTTP** - **Hijacking de browser** (Man-in-the-Browser) - **DDoS**: participacao em ataques de negacao de servico - **Criptominerador**: mineracao de criptomoedas ```mermaid graph TB A["📧 Phishing / Exploit Kit T1566 / T1189 Anexo Excel / LNK / HTA"] --> B["🚀 Stager SmokeLoader Process Hollowing T1055.012 Injecao em explorer.exe"] B --> C["🔒 Anti-análise Debugger check T1622 VM evasion T1497.001"] C --> D["🐛 Main Module Scheduled Task T1053.005 Registry T1547.001"] D --> E["📡 Beacon HTTP/C2 Fast flux DNS T1071.001"] E --> F["📦 Download plugins T1105 - Ingress Tool Transfer Stealer / DDoS / RAT"] F --> G["💀 Payload final Ransomware (Agenda) Infostealer / Banking Trojan"] classDef delivery fill:#e74c3c,color:#fff classDef stager fill:#e67e22,color:#fff classDef evasion fill:#f39c12,color:#fff classDef persist fill:#3498db,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B stager class C evasion class D persist class E c2 class F c2 class G impact ``` ## Timeline ```mermaid timeline title SmokeLoader - Linha do Tempo 2011 : Primeira versao anunciada em fóruns underground 2018-2022 : Versoes com bug de mutex causando degradacao 2023-07 : Surto documentado pelo Darktrace - multiplos comprometimentos 2024-03 : Campanha contra Taiwan (FortiGuard Labs) - manufatura + saude 2024-05 : Operation Endgame - suprimido temporariamente 2025-01 : Versao 2025 alpha identificada por Zscaler ThreatLabz 2025-05 : SmokeLoader deployando Agenda ransomware via NETXLOADER 2025-09 : Versao 2025 estavel em uso por multiplos grupos ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1566-phishing\|T1566]] | Emails phishing com Excel / LNK maliciosos | | Acesso Inicial | T1189 | Drive-by compromise via exploit kits | | Evasão | [[t1055-012-process-hollowing\|T1055.012]] | Stager injeta main module em explorer.exe | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Opaque predicates; funções criptografadas e re-criptografadas | | Evasão | [[t1027-013-encryptedencoded-file\|T1027.013]] | Criptografia XOR simples (byte único) | | Evasão | [[t1497-001-system-checks\|T1497.001]] | Varredura de processos para anti-VM | | Evasão | [[t1622-debugger-evasion\|T1622]] | Verificação do flag BeingDebugged (PEB) | | Evasão | T1134.002 | Manipulação de token de acesso via WMIC | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registry Run Key + Startup folder | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task a cada 10min (corrigido em 2025 alpha) | | Execução | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell pos-infecção | | Execução | [[t1059-005-visual-basic\|T1059.005]] | Script VBS no Startup folder | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP para beacon e download de módulos | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Coleta de credenciais de navegadores | | Credenciais | [[t1114-001-local-email-collection\|T1114.001]] | Busca em arquivos Outlook | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Download de nova versao e plugins | ## Relevância LATAM e Brasil O SmokeLoader apresenta múltiplos vetores de risco para o Brasil: 1. **Agenda Ransomware via NETXLOADER (2025)**: O Trend Micro documentou que o Agenda ransomware utiliza SmokeLoader como vetor. As vitimas do Agenda no Q1/2025 incluem empresas no **Brasil** - específicamente nos setores de tecnologia, saúde e telecomúnicacoes. 2. **Cadeia de distribuição**: O SmokeLoader e usado como loader de [[lumma-stealer|Lumma Stealer]] e outros infostealers com presenca documentada no Brasil. Campanhas contra bancos ucranianos (G DATA, abr/2025) demonstram que o grupo operador adapta lures para contextos financeiros locais. 3. **Fast Flux DNS**: O uso de fast flux para infraestrutura C2 dificulta bloqueios baseados em dominio/IP pelos SOCs brasileiros, exigindo detecção comportamental. ## Detecção - Monitorar criação de processos filhos de `explorer.exe` via Process Hollowing - padrao de memoria suspeita seguida de execução de thread - Detectar `explorer.exe` estabelecendo conexoes HTTP de saida para dominios com resolução IP altamente volatil (fast flux) - Alertar sobre acesso simultaneo a `Login Data` (Chrome), `logins.json` (Firefox) e arquivos Outlook por processos nao-relacionados - Detectar Scheduled Tasks com nomes aleatorios executando binarios a partir de `%TEMP%` ou `%APPDATA%` - Inspecionar execucoes de WMIC que relancam processos existentes (escalada de privilegio via token manipulation) - Regras Sigma e YARA disponiveis no SOC Prime Threat Detection Marketplace para SmokeLoader/AndeLoader ## Relacoes - [[lumma-stealer|Lumma Stealer]] - infostealer frequentemente deployado pelo SmokeLoader - [[s1242-agenda-ransomware|Agenda Ransomware]] - payload final documentado em 2025 (via NETXLOADER) - [[s0154-cobalt-strike|Cobalt Strike]] - alternativa de payload pos-SmokeLoader - [[s0367-emotet|Emotet]] - outro loader historicamente similar em ecossistema - [[uac-0006]] - grupo ucraniano que usa SmokeLoader ativamente contra Ucrania - [[operation-endgame-2024]] - disrupcao da infraestrutura em mai/2024 - [[financial|financeiro]], [[healthcare|saúde]], [[manufacturing|manufatura]] - setores atingidos ## Referências - [1] [MITRE ATT&CK - S0226](https://attack.mitre.org/software/S0226/) - [2] [Zscaler ThreatLabz - SmokeLoader Rises from the Ashes (2025)](https://www.zscaler.com/blogs/security-research/smokeloader-rises-ashes) - [3] [Trend Micro - Agenda Ransomware Group Adds SmokeLoader and NETXLOADER (2025)](https://www.trendmicro.com/en_us/research/25/e/agenda-ransomware-group-adds-smokeloader-and-netxloader-to-their.html) - [4] [Darktrace - How Darktrace Defeated SmokeLoader Malware](https://www.darktrace.com/blog/how-darktrace-extinguished-the-threat-of-smokeloader-malware) - [5] [Huntress - SmokeLoader Malware Analysis](https://www.huntress.com/threat-library/malware/smokeloader)