İlk olarak 2011 yılında ceza forumlarında görülen Smokeloader, truva atları, fidye yazılımı ve kimlik bilgisi stealer’lar da dahil olmak üzere çeşitli ikinci aşama yükler sunmak için tasarlanmış oldukça modüler bir kötü amaçlı yazılım yükleyicisine dönüştü.
Operasyon Endgame, 2024’ün ortalarında sayısız kampanyayı bozduktan sonra, yükleyici 2025’in başlarında iki farklı varyant olarak yeniden ortaya çıktı: sürüm 2025 alfa ve sürüm 2025.
Her iki varyant da önceki performans hatalarını ele alır, kaçırma özelliklerini geliştirir ve farklı kötü niyetli etkinlikler sağlayan eklenti çerçevesini genişletir.
Zscaler araştırmacıları, bu güncellemelerin Smokeloader’ın tehlikeye atılan ana bilgisayarlarda daha gizli ve verimli bir şekilde çalışmasına izin verdiğini belirtti.
Başlangıçta, Smokeloader’ın birincil işlevi, komut ve kontrol (C2) sunucularına kalıcı yürütme ve işaretleme için Windows Gezgini’ne bir ana modül enjekte etmekti.
Bu enjeksiyondan sorumlu olan Stager, daha önce uygun kontrollerden yoksundu ve sürekli olarak modülün yeni kopyalarını on dakikalık aralıklarla enjekte ederek ciddi performans bozulmasına neden olacaktı.
Zscaler analistleri, 2025 alfa sürümünün Stager’a bir muteks kontrolü getirdiğini ve muteks zaten varsa enjeksiyon işlemini sonlandırdığını belirledi.
.webp)
Bot kimliğinin ilk dört baytına dayanan rastgele bir küçük harf dizesi elde eden bu Mutex üretim algoritması, tekrarlanan enjeksiyonları önler ve sistem kaynaklarını korur.
Yükleyici stabilitesinin ötesinde, Smokeloader’ın eklenti çerçevesi önemli ölçüde olgunlaştı. Operatörler isteğe bağlı olarak tarayıcı kimlik bilgilerini hasat eden modülleri dağıtabilir, kaçırma oturumları, dağıtılmış hizmet reddi (DOS) saldırıları ve maden kripto para birimi gerçekleştirebilir.
Her eklenti, C2’den alınan yapılandırma bayraklarına göre tetiklenen ikinci aşamalı bir yük olarak teslim edilir.
Bu esneklik, tehdit aktörlerinin, hedeflenen casusluktaki veri açığa çıkmasından gasp kampanyalarında hacimsel DOS’a kadar yükleri belirli hedeflere göre uyarlamasını sağlar.
Enfeksiyon mekanizması ve kalıcılık
Smokeloader’ın enfeksiyon zinciri, Stager’ı Shellcode dolu bir yürütülebilir ürün olarak sağlayan bir keşif e-postası veya istismar kiti ile başlar.
Yürütme üzerine, Stager Windows API bağımlılıklarını karma ile çözer, kod bloklarını sabit kodlu bir ofset ile şifresini çözer ve ana modülü 64 bit kabuk kodunu kullanarak explorer.exe işlemine enjekte eder.
Explorer.exe’nin içine girdikten sonra, ana modül, şimdi “Microsoftedgeupdatetaskmachine%HS” olarak adlandırılan bir kalıcılık için planlanmış bir görev oluşturur;
.webp)
Bu, yazarın meşru güncelleme hizmetleri olarak maskelenme girişimini kanıtlayan “Firefox varsayılan tarayıcı aracısı %HS” kullanan önceki varyantlarla tezat oluşturuyor.
Kalıcılık oluşturduktan sonra, ana modül, yinelenen yürütmeyi önlemek için aynı muteks oluşturur ve dört bayt CRC32 sağlama toplamı içeren güncellenmiş bir protokol kullanarak C2 sunucularına işaret etmeye başlar.
Bu sağlama toplamı, bütünlüğü sağlayarak ve basit ağ algılamalarını engelleyerek ofset altıdan başlayarak yük üzerinden hesaplanır.
Yanıt işleme de değişti: ilk dört baytlık komut uzunluğu alanı artık RC4 tuşuyla takas ederek statik imza eşleşmesini karmaşıklaştırdı.
Bu süreç boyunca Zscaler analistleri, Smokeloader’ın ağ iletişiminin sürekli olarak meşru tarayıcı kullanıcı aracılarını ve TLS el sıkışmalarını taklit ettiğini ve kötü amaçlı trafiği normal web taramasıyla daha da harmanladığını gözlemledi.
Smokeloader, hem Stager hem de ana modül geliştirmeleri çok yönlü eklentilerle birlikte entegre ederek, tek bir uyarlanabilir çerçeve altında veri hırsızlığı ve DOS işlemleri için güçlü bir tehdit olmaya devam etmektedir.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free