# SmokeLoader - Campanhas UAC-0006 Ucrânia 2023 > [!high] 23 Ondas de Phishing em 6 Meses Contra o Setor Financeiro Ucraniano > O grupo UAC-0006 conduziu 23 ondas de phishing entre maio e novembro de 2023 distribuindo SmokeLoader contra organizações do setor financeiro ucraniano. O CERT-UA documentou as campanhas como uma das mais persistentes do período pós-invasão, com o grupo utilizando disfarces de documentos contábeis e fiscais para comprometer contadores e funcionários financeiros de empresas ucranianas, visando fraude de transferências bancárias. ## Visão Geral O SmokeLoader é um loader/backdoor modular com histórico de uso desde 2011, amplamente disponível em fóruns de cibercrime russos como produto de aluguel (MaaS). Sua arquitetura permite que operadores carreguem módulos adicionais pós-comprometimento, incluindo stealers de senhas, keyloggers, mineradores de criptomoedas e outros payloads. O malware é conhecido pela pequena pegada binária (< 40 KB), uso de process hollowing em `explorer.exe` para execução furtiva e técnicas avançadas de anti-análise. O UAC-0006 é um grupo de ameaça rastreado pelo CERT-UA com motivação financeira, especializado em fraude de transferências bancárias contra empresas ucranianas. A partir de maio de 2023, o grupo intensificou significativamente suas operações, conduzindo 23 campanhas distintas documentadas pelo CERT-UA até novembro do mesmo ano - uma frequência excepcional que indica operação profissionalizada e recursos dedicados. O contexto da guerra Rússia-Ucrânia criou oportunidades para grupos criminosos explorarem a degradação dos controles internos e o estresse operacional das equipes financeiras ucranianas. O vetor de infecção consistia em e-mails de spear-phishing com arquivos ZIP contendo documentos com macros VBA ou executáveis disfarçados de documentos contábeis (notas de pagamento, relatórios fiscais, ordens bancárias). Quando executado, o SmokeLoader realizava injeção em `explorer.exe` via process hollowing e estabelecia comunicação com servidores C2 para receber plugins adicionais - frequentemente um stealer de senhas de internet banking e credenciais de sistemas de pagamento eletrônico. O impacto econômico estimado foi significativo: o CERT-UA e o Cyberpolice da Ucrânia relataram casos de transferências fraudulentas de dezenas de milhares a centenas de milhares de dólares por organização comprometida. ## Como Funciona **Arquitetura técnica do SmokeLoader:** - Binário compacto em C++ com tamanho < 40 KB empacotado - Loader principal realiza process hollowing em `explorer.exe` para execução furtiva - Comúnicação C2 via HTTP com protocolo proprietário XOR-cifrado - Suporte a plugins modulares: password stealers, keyloggers, proxies, downloaders - Anti-análise: detecta VMs, sandboxes, debuggers e monitores de processo **Plugins usados pelo UAC-0006:** - Password stealer para navegadores (Chrome, Firefox, Edge, Opera) - Stealer de credenciais de sistemas bancários (iFOBS, СКФО, Клієнт-Банк) - Keylogger com foco em formulários financeiros - VNC/RDP plugin para acesso visual ao desktop comprometido **Persistência:** - Chave de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` com caminho ofuscado - Cópia do binário em `%APPDATA%\` com nome aleatório de processo legítimo ## Attack Flow ```mermaid graph TB A["📧 Phishing Financeiro<br/>ZIP com documento contábil"] --> B["🖱️ Macro VBA Executada<br/>Documento de pagamento falso"] B --> C["💉 Process Hollowing<br/>SmokeLoader injeta em explorer.exe"] C --> D["📡 C2 Check-in<br/>Protocolo HTTP XOR-cifrado"] D --> E["🔌 Plugins Baixados<br/>Stealer bancário + keylogger"] E --> F["🏦 Credenciais Coletadas<br/>iFOBS, СКФО, navegadores"] F --> G["💸 Fraude de Transferência<br/>Ordens bancárias fraudulentas"] ``` *Ator: [[uac-0006]] · Contexto: guerra Rússia-Ucrânia 2022-2023* ## Timeline das Campanhas UAC-0006 (2023) ```mermaid timeline title UAC-0006 SmokeLoader - Campanhas 2023 Mai 2023 : Ondas 1-5 : Início da campanha intensificada : Disfarce de documentos fiscais Jun-Jul 2023 : Ondas 6-12 : Temas de ordens de pagamento : CERT-UA emite alertas Ago-Set 2023 : Ondas 13-18 : Expansão de alvos : Sistemas bancários ucranianos Out-Nov 2023 : Ondas 19-23 : Continuidade da campanha : 23 ondas documentadas no total : Cyberpolice investiga ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | ZIP com documentos contábeis maliciosos | | Process Injection | [[t1055-process-injection\|T1055]] | Process hollowing em explorer.exe | | Registry Run Keys | [[t1547-001-registry-run-keys\|T1547.001]] | Persistência via HKCU Run Key | | Deobfuscate/Decode Files | [[t1140-deobfuscate-decode-files\|T1140]] | XOR decryption do protocolo C2 e módulos | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Credenciais exfiltradas via canal HTTP C2 | | Clear Windows Event Logs | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Limpeza de logs para dificultar análise forense | ## Relevância para o Brasil e LATAM > [!latam] Relevância para o Brasil > O modelo de ataque do **UAC-0006** — disfarces de **documentos contábeis e fiscais** para atingir funcionários financeiros — é amplamente replicado contra empresas brasileiras usando **Grandoreiro** e outros banking trojans locais (NF-e, boletos, SEFAZ). O **SmokeLoader** está disponível como commodity em fóruns clandestinos e há registros do seu uso em campanhas contra o setor **financeiro** brasileiro em 2022-2023. O foco em **fraude de transferência bancária** é ameaça direta ao setor empresarial, onde BEC causa perdas de dezenas de milhões de reais por ano. As campanhas UAC-0006 com SmokeLoader contra a Ucrânia têm relevância para o Brasil e LATAM por múltiplos vetores: - **Modelo replicável**: a tática de usar disfarces de documentos contábeis e fiscais para atingir funcionários financeiros é amplamente utilizada contra empresas brasileiras - campanhas com o [[s0531-grandoreiro]] e outros banking trojans brasileiros usam exatamente o mesmo padrão (NF-e, boletos, SEFAZ) - **SmokeLoader como commodity**: o loader está disponível em fóruns clandestinos como produto de aluguel e pode ser adquirido por grupos criminosos brasileiros para campanhas locais; há registros de uso do SmokeLoader em campanhas contra o setor [[financial|financeiro]] brasileiro em 2022-2023 - **Fraude de transferência bancária (BEC-adjacent)**: o foco do UAC-0006 em comprometer operadores financeiros para realizar transferências fraudulentas é uma ameaça direta ao setor empresarial brasileiro, onde o BEC (Business Email Compromise) causa perdas de dezenas de milhões de reais por ano - **Contexto de conflito como cobertura**: a concentração da atenção de segurança em ameaças ligadas à guerra na Ucrânia pode criar janelas de oportunidade para grupos criminosos em outras regiões; o CERT-BR recomenda monitoramento de indicadores de SmokeLoader mesmo fora do contexto ucraniano ## Detecção e Defesa **Indicadores comportamentais:** - `explorer.exe` estabelecendo conexões HTTP outbound não relacionadas à navegação do usuário - Processo `explorer.exe` com comportamento atípico de acesso a arquivos de perfil de navegadores - Arquivo ZIP recebido por e-mail com documento que executa macro VBA ao abrir - Chave de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` criada por processo não padrão **Mitigações recomendadas:** - Desabilitar macros de Office em documentos de fontes externas via Group Policy - impede a maioria dos vetores de entrega - Monitorar conexões de rede originadas pelo `explorer.exe` via EDR ou Sysmon NetworkConnect - Implementar filtro de e-mail com sandboxing de arquivos ZIP contendo Office documents - Bloquear macros de documentos do Office recebidos da internet via Attack Surface Reduction rules - [[m1049-antivirus-antimalware|EDR]] com detecção de process hollowing é controle crítico contra SmokeLoader - Treinamento específico para funcionários financeiros sobre reconhecimento de phishing temático fiscal ## Referências - [1](https://cert.gov.ua/article/6276642) CERT-UA - Campanha UAC-0006 SmokeLoader (Alerta #6276642, 2023) - [2](https://cert.gov.ua/article/6281076) CERT-UA - Múltiplas ondas de distribuição SmokeLoader (Alerta #6281076, 2023) - [3](https://www.secureworks.com/research/smokeloader-analysis) Secureworks CTU - SmokeLoader Technical Analysis (2022) - [4](https://www.zscaler.com/blogs/security-research/smokeloader-campaign-distributing-malware) Zscaler ThreatLabz - SmokeLoader Distribution Campaign (2023) - [5](https://attack.mitre.org/software/S0226/) MITRE ATT&CK - SmokeLoader S0226 (2024) - [6](https://www.proofpoint.com/us/blog/threat-insight/smokeloader-malware-analysis) Proofpoint - SmokeLoader Technical Analysis (2023) - [7](https://any.run/malware-trends/smokeloader) ANY.RUN - SmokeLoader Malware Trend Analysis (2024)