SmokeLoader于2011年首次出现在地下犯罪论坛上,如今已演变为一种高度模块化的恶意软件加载器,旨在分发各种第二阶段有效载荷,包括特洛伊木马、勒索软件和凭据窃取器。
在2024年年中“终局行动”扰乱了众多活动后,这款加载器于2025年初以两个不同的变体重新出现:2025 alpha版和2025版。
这两个变体都修复了之前的性能漏洞,增强了规避能力,并扩展了支持各种恶意活动的插件框架。
Zscaler的研究人员指出,这些更新使SmokeLoader能够在受感染的主机上更隐蔽、更高效地运行。
最初,SmokeLoader的主要功能是将一个主模块注入到Windows资源管理器中,以实现持久化执行并向命令与控制(C2)服务器发送信标。
负责此次注入的加载器此前缺乏适当的检查,会每隔十分钟持续注入该模块的新副本,导致性能严重下降。
Zscaler 分析师发现,2025 alpha 版本在加载器中引入了互斥体检查,如果互斥体已存在,就会终止注入过程。
这种互斥锁生成算法基于机器人ID的前四个字节生成随机小写字符串,可防止重复注入并节省系统资源。
除了加载器的稳定性外,SmokeLoader的插件框架已显著成熟。操作者可以选择性部署各种模块,这些模块能够窃取浏览器凭据、劫持会话、实施分布式拒绝服务(DoS)攻击以及挖掘加密货币。
每个插件都作为第二阶段载荷交付,其触发基于从命令与控制服务器接收的配置标志。
这种灵活性使威胁行为者能够根据特定目标定制有效载荷,从针对性间谍活动中的数据窃取到勒索活动中的 volumetric DoS 攻击均是如此。
感染机制与持久化
SmokeLoader的感染链始于一封侦察邮件或漏洞利用工具包,它们会将加载器作为经shellcode打包的可执行文件进行投递。
执行时,该加载器通过哈希解析Windows API依赖项,使用硬编码偏移量解密代码块,并利用64位外壳代码将主模块注入explorer.exe进程。
进入explorer.exe后,主模块会创建一个名为“MicrosoftEdgeUpdateTaskMachine%hs”的计划任务以实现持久化,其中占位符是机器人ID的前16个字符。
这与早期使用“Firefox Default Browser Agent %hs”的变体形成对比,表明作者试图伪装成合法的更新服务。
建立持久性后,主模块会生成相同的互斥体以避免重复执行,并开始使用包含四字节CRC32校验和的更新协议向C2服务器发送信标。
该校验和是从偏移量6开始对有效载荷计算得出的,这确保了完整性并阻碍了简单的网络检测。
响应处理方式也发生了变化:最初的四字节命令长度字段现在用RC4密钥进行了异或混淆,这使得静态签名匹配变得更加复杂。
在整个过程中,Zscaler的分析师发现,SmokeLoader的网络通信始终模仿合法的浏览器用户代理和TLS握手,从而进一步将恶意流量与正常的网页浏览流量混为一谈。
通过将stager和主模块增强功能以及多功能插件集成在一起,SmkeLoader仍然是单一适应性框架下数据盗窃和DoS操作的强大威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
