SmokeLoader Backdoor – Descripción del malware SmokeLoader

Add Comment
by Brendan Smith
mayo 9, 2023
SmokeLoader Backdoor — SmokeLoader Malware Description
SmokeLoader, Backdoor, Trojan/Win32:SmokeLoader
Written by Brendan Smith

El backdoor de SmokeLoader es una aplicación maliciosa que tiene como objetivo dar al atacante acceso remoto a tu PC. El propósito general de dicho acceso en el caso de este backdoor es descargar diferentes tipos de malware. A pesar de ser muy antiguo, sigue siendo un hueso duro de roer y se mantiene activo y popular en ataques de diferentes perfiles. Veamos por qué SmokeLoader es tan potente a pesar de su venerable edad.

¿Qué es el malware de puerta trasera?

Antes de adentrarnos en el análisis de SmokeLoader, echemos un vistazo a qué son las puertas traseras. Este tipo de malware tiene una historia larga y compleja, y en la actualidad es una figura prominente. El objetivo principal del malware de puerta trasera es crear una forma para que los ciberdelincuentes se conecten de forma remota al PC objetivo y realicen cualquier acción posible. Para ello, no dudan en utilizar vulnerabilidades en el sistema objetivo, así como inyectarse en el sistema como un troyano.

El principal uso de las computadoras infectadas con puertas traseras es su participación en botnets. Durante la última década, se han conocido ampliamente enormes redes de sistemas zombies que realizan ataques DDoS, envían correos electrónicos no deseados y realizan otras actividades nefastas. Para este propósito, los sinvergüenzas utilizan puertas traseras automatizadas, aquellas que requieren un mínimo de comandos del servidor de control y pueden funcionar por sí mismas. La otra aplicación de una puerta trasera, es decir, la controlada manualmente, es el robo de datos y la implementación de malware. En el último caso, la puerta trasera actúa como una locomotora para la carga maliciosa, por lo que a veces se clasifica como un gusano.

Descripción del malware SmokeLoader

El backdoor de SmokeLoader apareció por primera vez en 2014, justo al comienzo de la era del ransomware. Solo unos pocos malwares más pueden jactarse de mantenerse activos durante 8 años después de su lanzamiento. Este backdoor tiene muchas características que le permiten seguir siendo relevante a pesar de su antigüedad. En primer lugar, es extremadamente pequeño: la carga útil es de solo alrededor de 30 kilobytes. Los malwares regulares de este tipo suelen tener un tamaño de archivo de al menos 100 KB, generalmente alrededor de 150-200 kilobytes. Esto ya facilita mucho su manejo en un sistema protegido, ya que algunas reglas YARA utilizadas para la detección de malware prestan atención al tamaño del archivo.

Smokeloader offer forums

Oferta de compra de SmokeLoader en el foro Darknet

Otra característica que lo distingue de los demás es que está escrito en lenguajes C y ensamblador. Ambos son de bajo nivel, lo que indica su capacidad para profundizar en el sistema. El código exacto de este backdoor está fuertemente ofuscado. Fue una medida efectiva contra los programas anti-malware, pero en la actualidad cualquier tipo de ofuscación detectada se considera peligrosa. En estos días, solo hace que el análisis inverso de este malware sea mucho más difícil.

Las características clave de este backdoor están envueltas alrededor de sus funciones de carga, como habrás supuesto por su nombre. La gran mayoría del tiempo, SmokeLoader se utiliza para entregar otro malware al sistema infectado. Aún así, no es el único propósito de este malware, el desarrollo continuo ha traído la capacidad de utilizarlo como una herramienta de robo. También se adapta a la implementación de botnets, pero solo hay pocos casos de uso de este tipo. Todavía recibe actualizaciones cada año, por lo que su funcionalidad puede expandirse en el futuro.

Análisis técnico de SmokeLoader

El paquete inicial del malware SmokeLoader solo contiene funcionalidades básicas, proporcionando la conexión remota al PC infectado. La captura de datos, el monitoreo de procesos, el módulo de DDoS, y otras funciones similares deben instalarse posteriormente. En general, el análisis inverso muestra que hay 9 módulos diferentes que SmokeLoader puede manejar simultáneamente.

Nombre del móduloFuncionalidad
Capturador de formulariosVigila los formularios en las ventanas abiertas para coger las credenciales
Olfateador de contraseñasMonitoriza los paquetes entrantes y salientes de Internet para husmear las credenciales
DNS falsoMódulo para falsificar la petición DNS. Conduce a la redirección del tráfico al sitio que necesita.
Registrador de teclasRegistra todas las pulsaciones de teclas en el entorno infectado
ProcmonMódulo de monitorización de procesos, registra los procesos que se ejecutan en el sistema.
Búsqueda de archivosHerramienta de búsqueda de archivos
Capturador de correo electrónicoToma la libreta de direcciones de Microsoft Outlook
PC remotoCapacidad para establecer un control remoto similar a las utilidades de acceso remoto (como TeamViewer).
DDoSObligar al PC infectado a participar en ataques DDoS contra el servidor designado.

El payload de este malware siempre se empaqueta de una manera única. Una muestra única es utilizada por un pequeño grupo de usuarios, por lo que no es tan fácil encontrar las mismas muestras en el mundo real. Sin embargo, esta tecnología no es algo nuevo: la mayoría de los malware hacen lo mismo, e incluso algunos generan una muestra empaquetada de forma única para cada ataque. Además, además del empaquetado inicial, existe un requisito por parte de sus distribuidores para realizar una compresión o encriptación adicional antes de la inyección. Esta es, precisamente, la otra cadena de medidas contra la detección.

El sistema objetivo recibe la muestra completamente empaquetada de SmokeLoader: eso es lo que se encuentra en el disco. Todas las etapas siguientes se ejecutan en la memoria del sistema, por lo que los escaneos con software anti-malware antiguo solo detectarán una muestra profundamente empaquetada. La primera etapa de ejecución de SmokeLoader incluye una importante comprobación obligatoria: la ubicación del sistema atacado. Este malware no se puede ejecutar en la Comunidad de Estados Independientes, independientemente de la configuración que hayas realizado antes de la inyección. Otras comprobaciones incluyen la búsqueda de máquinas virtuales y la detección de entornos de pruebas. Si se pasan todas las pruebas, el malware se desempaqueta por completo y se inicia de la manera habitual.

Mientras se ejecuta, SmokeLoader aplica una técnica de ofuscación bastante única. Casi el 80% de su código está encriptado durante todo el período de ejecución. Cuando necesita utilizar otra función, lo descifra mientras cifra el elemento que utilizó anteriormente. Las reglas YARA, junto con la ingeniería inversa clásica, se vuelven casi inútiles contra este truco. Tiene cargas útiles de 32 y 64 bits que se cargan en sistemas con arquitecturas correspondientes durante la comprobación desde la etapa inicial hasta la ejecución final.

Encryption and obfuscation SmokeLoader

Codificación en SmokeLoader

El archivo exacto que se mantiene en la memoria mientras se ejecuta el SmokeLoader no es un archivo ejecutable válido, ya que carece del encabezado PE. De hecho, el código del backdoor se representa como un código de shell y, por lo tanto, debe encontrar una forma de ejecutarse manualmente. En general, los comandos rutinarios ejecutados por SmokeLoader, como las llamadas a C&C o las descargas, se realizan a través de inyecciones DLL. Obviamente, esto se requiere para mantener la sigilosidad. Con mayor frecuencia, este paso incluye inyecciones DLL o llamadas de consola que se realizan desde el nombre de otro programa. Los hackers que controlan el SmokeLoader pueden enviar el archivo .exe del malware que desean instalar y simplemente especificar la URL desde donde el backdoor puede obtener este archivo.

Smokeloader header analysis

El encabezado del archivo SmokeLoader .exe no está presente – no es un archivo ejecutable válido

SmokeLoader IoC

IndicatorValue
С2 URL Addresses
azarehanelle19[.]top
quericeriant20[.]top
xpowebs[.]ga
venis[.]ml
paishancho17[.]top
mizangs[.]tw
mbologwuholing[.]co[.]ug
Quadoil[.]ru
ydiannetter18[.]top
tootoo[.]ga
eyecosl[.]ga
host-file-host6[.]com
host-host-file8[.]com
fiskahlilian16[.]top
bullions[.]tk
IP addresses 216.128.137.31
8.209.71.53
SHA-256 Hashes 5318751b75d8c6152d90bbbf2864558626783f497443d4be1a003b64bc2acbc2
79ae89733257378139cf3bdce3a30802818ca1a12bb2343e0b9d0f51f8af1f10
Ebdebba349aba676e9739df18c503ab8c16c7fa1b853fd183f0a005c0e4f68ae
Ee8f0ff6b0ee6072a30d45c135228108d4c032807810006ec77f2bf72856e04a
D618d086cdfc61b69e6d93a13cea06e98ac2ad7d846f044990f2ce8305fe8d1b
6b48d5999d04db6b4c7f91fa311bfff6caee938dd50095a7a5fb7f222987efa3
B961d6795d7ceb3ea3cd00e037460958776a39747c8f03783d458b38daec8025
F92523fa104575e0605f90ce4a75a95204bc8af656c27a04aa26782cb64d938d
02083f46860f1ad11e62b2b5f601a86406f7ee3c456e6699ee2912c5d1d89cb9
059d615ce6dee655959d7feae7b70f3b7c806f3986deb1826d01a07aec5a39cf

Lista de variantes extendidas de SmokeLoader

Distribución del malware SmokeLoader

Las principales formas de propagación de SmokeLoader se basan en el correo no deseado, software pirateado y keygens. El primero es prevalente, ya que es mucho más fácil y aún bastante efectivo. En este caso, el malware se oculta dentro del archivo adjunto, generalmente un archivo de MS Word o MS Excel. Ese archivo contiene macros y, si se permite la ejecución de macros como se solicita, se conectará a un servidor de comandos y recibirá la carga (en realidad, solo un SmokeBot). Sin embargo, los analistas señalan que SmokeLoader aparece con mayor frecuencia a través del enlace malicioso adjunto a dicho mensaje. El sitio al que conduce ese enlace puede contener una explotación, en particular una técnica de scripting entre sitios (cross-site scripting).

Email spam

Ejemplo de spam por correo electrónico. El archivo contiene una macro maliciosa

Esconder malware dentro de aplicaciones crackeadas o keygens/herramientas de hacking es un poco más difícil pero tiene un potencial mucho más amplio. Como el uso de software no autorizado aún es común, muchas personas pueden estar en peligro. No todas las aplicaciones crackeadas contienen malware, pero todas ellas son ilegales, tanto para los usuarios como para los creadores. Al usarlas, podrías enfrentarte a demandas por violación de derechos de autor. Y verse infectado con malware en ese caso es aún más desagradable.

En cuanto a la infección de malware, la aparición de SmokeLoader generalmente lleva a la instalación de varias otras aplicaciones maliciosas. Los delincuentes que lograron crear una botnet luego ofrecen a otros distribuidores de malware infectar esas computadoras con lo que deseen. Esto puede ser adware, secuestradores de navegadores, spyware, ransomware, literalmente no hay restricciones. Detrás de una gran cantidad de virus, los expertos en ciberseguridad a menudo pasan por alto el origen de todo este caos, lo que hace que SmokeLoader pase desapercibido.

Smokeloader malware delivery offers

SmokeLoader se ofrece como herramienta de distribución de malware en foros

Un caso separado de propagación, donde SmokeLoader no actúa como precursor, es su combinación con el ransomware STOP/Djvu. Exactamente, el paquete de malware entregado al dispositivo incluye los stealers RedLine y Vidar. El primero tiene como objetivo las credenciales bancarias, mientras que el segundo busca información de billeteras de criptomonedas. De una forma u otra, Djvu representa una parte significativa en la prevalencia de SmokeLoader, ya que es uno de los ransomware más extendidos en su categoría.

Descripción del ransomware Djvu

El ransomware STOP/Djvu es un líder de ransomware de larga duración que ataca a usuarios individuales. Adoptó una táctica que le permitió abarcar la mayor cantidad posible de usuarios, lo que lo llevó al primer lugar, representando alrededor del 75% de todos los envíos. Sin embargo, a lo largo del segundo semestre de 2022, su actividad disminuyó, por lo que sus desarrolladores comenzaron a compensar esa caída con la eficiencia de su carga útil. SmokeLoader, junto con los dos stealers – Vidar y RedLine – cumplen el papel de fuentes de ingresos adicionales. Obtienen las credenciales de los usuarios infectados, para que los delincuentes puedan vender esos datos en los mercados de la Darknet.

Archivos encriptados por el ransomware STOP/Djvu (variante BOWD)

Protégete del malware de puerta trasera

Las puertas traseras son extremadamente astutas y sigilosas, por lo que incluso los usuarios más meticulosos no las encontrarán por sí mismos. Y eso es decir lo mínimo: como has visto, las puertas traseras pueden evadir fácilmente las herramientas antivirus básicas. Por eso, el punto clave aquí es mantenerse alejado de las formas típicas de propagación de puertas traseras. No darles ninguna oportunidad es mucho mejor que buscar formas de hacerlas menos efectivas una vez que estén dentro de tu sistema.

El correo no deseado (spam) por correo electrónico, como el más popular, es el primer punto de interés. Afortunadamente, puedes reconocerlo fácilmente: el correo no deseado siempre tiene señales que difieren del correo original. Algunas cartas de spam comunes suelen tener errores ortográficos, gramática deficiente, temas extremadamente extraños y un diseño descuidado. Los mensajes de spam más sofisticados pueden ser muy convincentes, pero siempre hay señales de falsificación. Por ejemplo, los delincuentes nunca podrán utilizar la dirección de correo electrónico corporativa, por lo que tratan de utilizar una similar o incluso una casilla de correo al azar. Además, los enlaces en el mensaje probablemente conduzcan a recursos externos que apenas están relacionados con la empresa utilizada como disfraz.

Evita el uso de software pirateado, keygens y otras actividades ilegales similares. En la gran mayoría de los casos, su uso está prohibido, y la posibilidad de introducir malware empeora aún más las cosas. Los autores de este tipo de software suelen buscar formas de monetizar su trabajo, y solo se vislumbran actividades ilegales similares. Por lo tanto, no tienen otra opción que añadir malware al programa que crackean. Y en el caso de una puerta trasera, es posible que no notes su presencia incluso mucho tiempo después de que haya aparecido en tu dispositivo. Recuerda la regla de que “lo gratis solo está en la ratonera”.

Utiliza un software antivirus decente. Lo menos agradable es enfrentarse a un enemigo sin armas. Las medidas proactivas pueden ser buenas y efectivas, pero a veces el malware llega desde un lado inesperado. Para esos casos, debes utilizar una protección antivirus, un programa avanzado capaz de detectar las amenazas más recientes y complicadas. GridinSoft Anti-Malware será el mejor para ese propósito, ya que es una aplicación compleja que cuenta con un mecanismo de detección de 3 partes independientes. Su bajo consumo de recursos y su tamaño reducido lo hacen ideal para la protección de tu PC.

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

Inglés Alemán Japonés Portugués, Brasil Francés Turco Chino tradicional Coreano Indonesio Hindi Italiano

About the author

Brendan Smith

Journalist, researcher, web content developer, grant proposal editor. Efficient and proficient on multiple platforms and in diverse media. Computer technology and security are my specialties.

View all posts

Leave a Reply

Sending

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.