2011’den beri aktif olan Smokeloader (Duman veya Dofoil olarak da bilinir), Truva atları, fidye yazılımı ve bilgi samançıları da dahil olmak üzere ikinci aşama yükler sunmak için tasarlanmış çok yönlü bir kötü amaçlı yazılım yükleyici olarak ününü güçlendirmiştir.
Yıllar boyunca, algılamadan kaçınmak ve yük teslimatını optimize etmek için gelişti, erişimini kimlik bilgisi hasat, tarayıcı kaçırma, kripto para madenciliği ve daha fazlası yeteneğine sahip genişletilebilir bir eklenti çerçevesi ile genişletti.
Mayıs 2024’te Endgame Operasyonunun ardından-birçok duman yükleyici vakasını ortadan kaldıran uluslararası bir kolluk ve özel endüstri çabası-Zscaler tehdidi yeni bir “2025 alfa” varyantını keşfettiğinde 2025 yılının başlarına kadar azaldı.
Temmuz 2025’e kadar, kötü amaçlı yazılım yazarı bir siber suçlu forumda güncellenmiş bir baskıyı tanıttı ve Tehditlabz kısa süre sonra, bundan sonra 2025 sürümü olarak adlandırılan, hata düzeltmeleri ve değiştirilmiş bir ağ protokolü ile ayırt edilen başka bir varyant tanımladı.
Smokeloader’ın birincil işlevi, ikincil kötü amaçlı yazılımların güvenilir indirilmesi ve yürütülmesi olmaya devam etmektedir. Bununla birlikte, modüler tasarımı onu çok işlevli bir tehdide dönüştürür.
Stager bileşeni başlangıçta analiz ortamlarını atlar, sanallaştırma tespit edilirse sona erer ve ana modülü explorer.exe’ye enjekte eder.
Bir kez ikamet ettikten sonra, ana modül planlanan görevler, komut ve kontrol (C2) sunucusuna işaretler ve eklenti yürütme düzenlemesi yoluyla kalıcılık oluşturur.
İsteğe bağlı modüller, kimlik bilgilerini ve sistem bilgilerini hasat etmek için veri açığa vurma araçlarını, hedeflenen uç noktaları ezmek için dağıtılmış hizmet reddi (DDOS) saldırı yardımcı programlarını ve boşta CPU döngülerinden yararlanan kripto para madencilerini içerir.
Bu eklenti mimarisi, tehdit aktörlerinin smokeloader dağıtımlarını belirli hedeflere uyarlamasına ve hızla gelişen operasyonel ihtiyaçlara uyum sağlamasına olanak tanır.
Hata düzeltmeleri ve teknik geliştirmeler
Daha önceki Smokeloader sürümleri (2018-2022), performans bozucu hatalardan muzdarip, özellikle de ana modülü mevcut bir örneği kontrol etmeden her on dakikada bir yeniden enjekte eden, Explorer.exe’de bellek şişmesi ve iplik proliferasyonuna neden olan planlanmış bir görevdir.
Sürüm 2025 Alpha, Stager içinde bir muteks kontrolü getirerek gereksiz enjeksiyonları önler.
Mutex adlandırma şeması, bot kimliği ile tohumlanmış bir sahte rasgele algoritma yoluyla üretilen sabit uzunluklu büyük harfli bir dizeden değişken uzunluklu bir küçük harf alfabetik tanımlayıcısına değişti.
Anti-analiz iplikleri şimdi sadece muteks doğrulamasından sonra ortaya çıkar ve yamalı sistemlerde gereksiz iş parçacığı oluşturulmasını ortadan kaldırır.
Sürüm 2025’te daha fazla iyileştirme görülür. Stager, yürütmeden önce sabit kodlanmış bir sabit ekleyerek her bir şifreleme kodunu değiştiren yeni bir şifre çözme işlevi uygular, XOR işlemleriyle nispi sanal adresleri (RVA’lar) dinamik olarak hesaplar ve enjeksiyon için 64 bit kabuk kodunu kullanır.
Ana modülde, API bayrakları ve sürüm tanımlayıcıları da dahil olmak üzere sabit değerler, örnek başına anahtarlarla XOR aracılığıyla gizlenir.
Sürüm 2025 ayrıca ana modülde bir klavye tabakası kontrolü getirir: Kurbanın düzeni, Stager’da daha önceki bir kontrolü yansıtan ancak ana modül seviyesine fazlalık ekleyerek bir Rus yerel ayarını gösteriyorsa yürütmeyi iptal eder.
2025 sürümünde, 0xf001f değeri gibi sabitler gizlenir (SECTION_ALL_ACCESS) ntcreatesection işlevine aktarılır.
Ek olarak, interrocess iletişim için kullanılan dosya eşleme adı artık “FF” karakterlerini eklemek yerine bot kimliğinin bir MD5 karmasından kaynaklanmaktadır.
Ağ Protokolü Değişiklikler
Smokeloader’ın C2 iletişimini destekleyen protokol, 2022 sürümüne göre 2025 alfa sürümünde değişmeden kaldı, ancak sürüm 2025, iki baytlık sürüm alanını 2025 (0x07e9) olarak güncelliyor ve dört baytlık bir CRC32 checksum’u to to authentate paket yüklemeleri hazırlıyor.
Yanıt formatının başlangıç uzunluğu alanı artık RC4 anahtarı ile gizlenmiştir ve pasif müdahaleyi ve analizi karmaşıklaştırır.
Tehdit telemetrisi, muhtemelen eski C2 panelleriyle uyumluluğu nedeniyle 2025 alfa sürümünün şu anda baskın olduğunu göstermektedir.
Bununla birlikte, sürüm 2025’in hata düzeltmeleri, gelişmiş gizleme ve protokol sertleştirmesi, onu daha geniş bir cezai evlat edinme için güçlü bir aday haline getiriyor.
Smokeloader, koordineli bozulma çabalarına rağmen yükleyici tabanlı kötü amaçlı yazılım ekosistemlerinin esnekliğini gösteren birden fazla tehdit grubu tarafından aktif olarak kullanılmaktadır.
Smokeloader’ın kalıcı evrimi, modüler kötü amaçlı yazılım çerçevelerinin uyarlanabilirliğinin altını çiziyor.
Endgame Operasyonu geçici bir aksilik sunarken, 2025 alfa ve sürüm 2025 sürümünün ortaya çıkışı – performans düzeltmeleri, gelişmiş gizlilik ve protokol geliştirmeleri – smokeloader’ın yasadışı yükler için güçlü bir yükleyici olarak kalacağı.
Kuruluşlar, bu kalıcı kötü amaçlı yazılımların ortaya koyduğu tehdidi azaltmak için anormal planlanan görevleri ve muteks tabanlı enjeksiyonları işaretlemek için davranışsal izleme dahil olmak üzere sağlam algılama ve yanıt önlemlerini sürdürmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.