Smokeloader, visto por primera vez en foros criminales en 2011, se ha convertido en un cargador de malware altamente modular diseñado para ofrecer una variedad de cargas útiles de segunda etapa, incluidos troyanos, ransomware y ladrones de credenciales.
Después de que la operación final interrumpió numerosas campañas a mediados de 2024, el cargador resurgió a principios de 2025 como dos variantes distintas: versión 2025 alfa y versión 2025.
Ambas variantes abordan errores de rendimiento anteriores, mejoran las capacidades de evasión y expanden el marco de complementos que permite actividades maliciosas dispares.
Los investigadores de ZSCALER notaron que estas actualizaciones permiten que Smokeloader opere de manera más sigilosa y eficiente en los hosts comprometidos.
Inicialmente, la función principal de Smokeloader era inyectar un módulo principal en Windows Explorer para la ejecución persistente y la baliza de los servidores de comando y control (C2).
El Stager, responsable de esta inyección, anteriormente carecía de controles adecuados y inyectaría continuamente nuevas copias del módulo a intervalos de diez minutos, lo que resultó en una degradación grave del rendimiento.
Analistas de ZSCaler identificado Esa versión 2025 Alpha introdujo una verificación mutex en el stager, terminando el proceso de inyección si el mutex ya existe.
Código mutex (fuente – ZScaler)
Este algoritmo de generación Mutex, que deriva una cadena en minúsculas aleatorias basada en los primeros cuatro bytes de la ID de BOT, evita las inyecciones repetidas y los recursos del sistema conservos.
Más allá de la estabilidad del cargador, el marco de complementos de Smokeloader ha madurado significativamente. Los operadores pueden implementar opcionalmente módulos que cosechan credenciales del navegador, sesiones de secuestro, realizar ataques distribuidos de denegación de servicio (DOS) y la criptomoneda mina.
Cada complemento se entrega como una carga útil de la segunda etapa, activada según los indicadores de configuración recibidos del C2.
Esta flexibilidad permite a los actores de amenaza adaptar las cargas útiles hasta objetivos específicos, desde la exfiltración de datos en el espionaje dirigido hasta los DOS volumétricos en campañas de extorsión.
Mecanismo de infección y persistencia
La cadena de infección de Smokeloader comienza con un correo electrónico de reconocimiento o un kit de explotación que ofrece al Stager como un ejecutable lleno de shellcode.
Tras la ejecución, el Stager resuelve las dependencias de la API de Windows por hash, descifra los bloqueos de código con un desplazamiento codificado e inyecta el módulo principal en el proceso Explorer.exe utilizando el código de shell de 64 bits.
Una vez dentro de Explorer.exe, el módulo principal crea una tarea programada de persistencia, ahora llamada “Microsoftedgeupdatetaskmachine%HS”, donde el marcador de posición es los primeros 16 caracteres de la ID de bot.
Flujo de control de proceso de ejecución de Smokeloader (fuente – ZSCALER)
Esto contrasta con variantes anteriores que utilizaron “agente de navegador predeterminado de Firefox %HS”, evidenciando el intento del autor de disfrazarse como servicios de actualización legítimos.
Después de establecer la persistencia, el módulo principal genera el mismo mutex para evitar la ejecución duplicada y comienza a balancearse a los servidores C2 utilizando un protocolo actualizado que incluye una suma de verificación CRC32 de cuatro bytes.
Esta suma de verificación se calcula a través de la carga útil a partir de la compensación seis, asegurando la integridad y obstaculizando las detecciones de red simplistas.
El manejo de la respuesta también cambió: el campo inicial de longitud de longitud de comando de cuatro bytes ahora se observa con la tecla RC4, lo que complica la coincidencia de firma estática.
A lo largo de este proceso, los analistas de ZScaler observaron que las comunicaciones de red de Smokeloader imitan constantemente a los agentes de usuarios de navegador legítimo y los apretones de manos TLS, combinando aún más el tráfico malicioso con la navegación web normal.
Al integrar las mejoras de Stager y Main-Module junto con complementos versátiles, Smokeloader sigue siendo una amenaza potente para el robo de datos y las operaciones de DOS en un solo marco adaptable.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
