# SmokeLoader > Tipo: **loader / backdoor modular** - S0226 - [MITRE ATT&CK](https://attack.mitre.org/software/S0226) > [!info] Loader com Mais de uma Decada Ativo - Ainda Relevante em 2025 > O SmokeLoader existe desde pelo menos 2011 e permanece ativo em 2025. Sua longevidade e explicada por atualizacoes constantes, arquitetura modular e baixo custo nos mercados underground. Também rastreado como UAC-0006 em campanhas ucranianas, o SmokeLoader distribuiu payloads como [[s1240-redline-stealer|RedLine]], [[vidar-stealer|Vidar]] e ransomware de forma consistente por mais de uma decada. ## Visão Geral [[s0226-smokeloader|SmokeLoader]] (também conhecido como Dofoil, Sharik) e um loader/backdoor modular disponível em mercados underground desde pelo menos 2011, tornando-o um dos malwares ativos mais longevos do ecossistema. O SmokeLoader e notorio por suas **técnicas avancadas de evasão** - incluindo anti-debugging via predicados opacos, process hollowing em `explorer.exe`, comunicação C2 mascarada por requisicoes a dominios legitimos (microsoft.com, bing.com) e ofuscacao via XOR de um byte. O SmokeLoader opera como plataforma de plugin extensivel: o loader principal e compacto e focado em evasão, enquanto funcionalidades adicionais sao carregadas como módulos separados. Módulos documentados incluem roubo de credenciais de browsers ([[t1555-003-credentials-from-web-browsers|T1555.003]]), coleta de emails do Outlook ([[t1114-001-local-email-collection|T1114.001]]), keylogging e enumeracao de arquivos ([[t1083-file-and-directory-discovery|T1083]]). A técnica de **fast flux DNS** - trocar rapidamente os IPs associados aos dominios C2 - torna o bloqueio por IP ineficaz. Em 2023-2025, o SmokeLoader foi utilizado como componente em campanhas da familia [[s1242-agenda-ransomware|Agenda Ransomware]] distribuidas via **NETXLOADER**, um loader .NET com ofuscacao de nivel industrial que impede determinacao do payload sem execução em memoria. O grupo UAC-0006 utilizou o SmokeLoader extensivamente em campanhas contra o sistema bancario ucraniano com objetivos de espionagem financeira. **Plataformas:** Windows ## Como Funciona O SmokeLoader implementa um processo de infecção multi-estagio com foco em persistência e evasão: 1. **Entrega via phishing ou software pirata:** Emails com anexos maliciosos, sites de warez ou exploit kits distribuem o dropper inicial 2. **Anti-análise agressiva:** Verificacoes de sandbox ([[t1497-001-system-checks|T1497.001]]) via CPUID, detecção de VM por dispositivos de hardware, predicados opacos para anti-disassembly ([[t1027-013-encrypted-encoded-file|T1027.013]]) 3. **Process Hollowing em explorer.exe:** SmokeLoader spawna nova instancia de `c:\windows\syswow64\explorer.exe` e substitui o código executavel em memoria por código malicioso ([[t1055-012-process-hollowing|T1055.012]]) 4. **Persistência dupla:** Chave de registro Run ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e script VBS na pasta Startup ([[t1059-005-visual-basic|T1059.005]]) com tarefa agendada ([[t1053-005-scheduled-task|T1053.005]]) 5. **Comúnicação C2 mascarada:** POST requests HTTP para dominio C2, com requisicoes falsas a microsoft.com/bing.com para mistura de trafego ([[t1071-001-web-protocols|T1071.001]]). Resposta com HTTP 404 mas dados no corpo 6. **Carga de payload:** Download e execução de malware adicional ([[t1105-ingress-tool-transfer|T1105]]) como RedLine, Vidar, Raccoon ou ransomware ```mermaid graph TB A["Entrega inicial<br/>Phishing / Warez / Exploit kit<br/>Dropper executado pelo usuario"] --> B["Anti-análise<br/>CPUID sandbox check T1497.001<br/>Predicados opacos anti-disassembly"] B --> C["Process Hollowing<br/>explorer.exe substituido T1055.012<br/>Código malicioso em memoria"] C --> D["Persistência dupla<br/>Registry Run T1547.001<br/>VBS Startup + Scheduled Task"] D --> E["C2 mascarado<br/>POST com decoy requests<br/>microsoft.com / bing.com T1071.001"] E --> F["Módulos carregados<br/>Roubo credenciais browsers<br/>Coleta emails Outlook T1114.001"] F --> G["Payload final<br/>RedLine / Vidar / Raccoon<br/>Ransomware loader"] classDef delivery fill:#e74c3c,color:#fff classDef evasion fill:#e67e22,color:#fff classDef inject fill:#8e44ad,color:#fff classDef persist fill:#27ae60,color:#fff classDef c2 fill:#2980b9,color:#fff classDef modules fill:#c0392b,color:#fff classDef payload fill:#2c3e50,color:#fff class A delivery class B evasion class C inject class D persist class E c2 class F modules class G payload ``` ## Timeline ```mermaid timeline title SmokeLoader - Evolução 2011 : Primeiras instancias SmokeLoader detectadas 2014-2018 : Atualizacoes constantes - longevidade notavel 2018 : Microsoft remove 400k+ instancias Dofoil do Windows 2020-2022 : Expansao em campanhas phishing europeias 2023 : UAC-0006 usa contra sistema bancario ucraniano : Integracao com NETXLOADER e Agenda ransomware Jul-Ago 2023 : Pico de comprometimentos - Darktrace documenta 2024-2025 : Versao nova distribuida por Agenda ransomware ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP com decoy requests | | Persistence | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registry Run Key | | Persistence | [[t1059-005-visual-basic\|T1059.005]] | VBS na Startup Folder | | Persistence | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo credenciais browsers | | Collection | [[t1114-001-local-email-collection\|T1114.001]] | Coleta emails Outlook | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | File and Directory Discovery | | Defense Evasion | [[t1027-013-encrypted-encoded-file\|T1027.013]] | XOR ofuscação | | Defense Evasion | [[t1055-012-process-hollowing\|T1055.012]] | Process Hollowing (explorer.exe) | | Defense Evasion | [[t1497-001-system-checks\|T1497.001]] | Verificacoes de sandbox/VM | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads adicionais | ## Relevância LATAM/Brasil O [[s0226-smokeloader|SmokeLoader]] e amplamente distribuido em campanhas de phishing genericas que incluem o Brasil. O vetor de software pirata (warez) e particularmente eficaz em regioes com alta taxa de uso de software nao-licenciado, incluindo o Brasil. O baixo custo do SmokeLoader nos mercados underground (USD 400-1.650) o torna acessivel para grupos menores que nao teriam acesso a loaders mais sofisticados. Os módulos do SmokeLoader representam ameaça direta ao sistema financeiro brasileiro: o módulo de roubo de credenciais de browsers pode capturar credenciais de internet banking e sistemas corporativos. O módulo de coleta de emails do Outlook permite reconhecimento corporativo e exfiltração de informações sigilosas. A combinacao com [[privateloader|PrivateLoader]] em campanhas PPI e documentada - o SmokeLoader e frequentemente um dos payloads entregues pelo PrivateLoader em infeccoes brasileiras. **Setores impactados:** [[financial|financeiro]] - [[government|governo]] - PMEs - qualquer usuario com software nao-licenciado ## Detecção - Monitorar `explorer.exe` com comportamento incomum - conexoes de rede, criação de processos filhos nao-esperados (indicador de process hollowing) - Detectar scripts VBS na pasta `%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup` - Alertar para queries DNS de frequência alta para dominios recentemente registrados (fast flux C2) - Monitorar acesso de processos externos a bases de credenciais do Chrome (`Login Data`) e Firefox (`logins.json`) ```sigma title: SmokeLoader Process Hollowing Explorer status: stable logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: '\explorer.exe' Image|endswith: '\explorer.exe' CommandLine|contains: 'syswow64' condition: selection level: high tags: - attack.defense_evasion - attack.t1055.012 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0226) MITRE ATT&CK - S0226 Smoke Loader (2024) - [2](https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader) Malpedia - SmokeLoader Family Details (2025) - [3](https://www.huntress.com/threat-library/malware/smokeloader) Huntress - SmokeLoader Malware Analysis (2025) - [4](https://www.darktrace.com/já/blog/how-darktrace-extinguished-the-threat-of-smokeloader-malware) Darktrace - SmokeLoader Kill Chain Analysis (2025) - [5](https://www.trendmicro.com/zh_hk/research/25/e/agenda-ransomware-group-adds-smokeloader-and-netxloader-to-their.html) Trend Micro - Agenda Ransomware + SmokeLoader + NETXLOADER (2025)