Киберпреступный ландшафт в 2025 году демонстрирует удивительную устойчивость даже после масштабных полицейских операций. SmokeLoader, известный также как Smoke или Dofoil, подтверждает эту тенденцию, возродившись с существенными улучшениями после масштабного разгрома в рамках операции Endgame. Этот модульный вредоносный загрузчик, активный с 2011 года, традиционно используется для доставки опасных полезных нагрузок, включая трояны, программы-вымогатели и похитители информации.
Описание
Операция Endgame в мае 2024 года стала результатом международного сотрудничества правоохранительных органов и частных компаний, включая специалистов Zscaler ThreatLabz. В ходе операции были ликвидированы многочисленные экземпляры SmokeLoader, а вредоносное ПО удалено с зараженных систем. Активность зловреда значительно снизилась после этих действий. Однако уже в начале 2025 года ThreatLabz обнаружил новую версию загрузчика, содержащую исправления ошибок и другие улучшения. Этот вариант получил обозначение версия 2025 alpha. Всего через несколько месяцев, в июле 2025 года, автор SmokeLoader анонсировал еще более новую версию на киберпреступном форуме, а вскоре был идентифицирован дополнительный вариант с измененным сетевым протоколом, нарушающим совместимость с предыдущими версиями.
Ключевые технические улучшения коснулись устранения критических недостатков, вызывавших серьезную деградацию производительности на зараженных системах. В более ранних версиях (2018-2022) scheduled task (запланированная задача) выполняла stager (стадию подготовки) каждые 10 минут без проверки уже запущенного основного модуля через mutex (взаимоисключающий объект). Это приводило к постоянному внедрению новых копий основного модуля в процесс explorer.exe и созданию потоков для противодействия анализу. Новые версии исправили эти недостатки: stager теперь проверяет наличие мьютекса перед инъекцией, а создание анти-аналитических потоков происходит только после успешной проверки.
Алгоритм генерации имени мьютекса также претерпел изменения. Вместо статичного формата на основе bot ID (идентификатора бота) теперь используется псевдослучайный генератор, создающий имена переменной длины из строчных букв. Это усложняет обнаружение и анализ активности вредоносной программы. Основной модуль SmokeLoader получил дополнительные улучшения в области обфускации констант через XOR-операции с уникальными для каждого образца значениями. Версия 2025 также включает дополнительную проверку языковой раскладки клавиатуры, завершая работу при обнаружении русской раскладки и отсутствии украинской.
Сетевой протокол в версии 2025 претерпел модификации: теперь beaconing (отправка сигналов) на command-and-control (C2) сервер включает четырехбайтовое значение CRC32 и obfuscated (замаскированную) длину команды в ответах сервера. Формат имени scheduled task для обеспечения устойчивости изменился с "Firefox Default Browser Agent" на "MicrosoftEdgeUpdateTaskMachine" с добавлением части bot ID.
Индикаторы компрометации
URLs
- http://176.46.152.46/
- http://178.16.53.7/
- http://ardt.info/tmp/
- http://cobyrose.com/tmp/
- http://cusnick.com/tmp/
- http://dfbdw3tyge.info/tmp
- http://dfbdw3tyge.info/tmp/
- http://disciply.nl/tmp/
- http://e-bonds.ru/tmp/
- http://es-koerier.nl/tmp/
- http://ownmbaego.com/index.php
- http://solanges.info/tmp/
- http://udlg.nl/tmp/
- https://ownmbaego.com/index.php
SHA256
- 0b06c6a25000addde175277b2d157d5bca4ab95cbfe3d984f1dba2ecefa3a4cd
- 413325dfeddf2287f86ca9998c1f6be2942145a647a14f1bfe1390e738adae61
- d38f9ab81a054203e5b5940e6d34f3c8766f4f4104b14840e4695df511feaa30
- d5e20fc37dd77dd0360fd32446799978048a2c60e036dbfbf5e671333ebd81f1
- fe18dba2d72ccf4a907d07674b18d1bc23e3ea10f66cbf2a79e73000df43b358
