Hack Alerta

Olymp Loader: MaaS em Assembly com foco em evasão e remoção do Defender

Por Redação Hack Alerta Publicado em 27/11/2025 05:03 Riscos e Ameaças Tempo de leitura: 3 min

Olymp Loader, um MaaS escrito em Assembly e anunciado em fóruns underground desde junho/2025, tem recursos de evasão avançada e técnicas para neutralizar o Windows Defender, além de entregar payloads como LummaC2 e Raccoon Stealer.

Pesquisadores de segurança observaram a ascensão do Olymp Loader, um Malware‑as‑a‑Service (MaaS) anunciado em fóruns subterrâneos desde junho de 2025. O pacote é comercializado como um loader escrito em Assembly com recursos de crypter e stealer, com ênfase em evasão técnica e baixa detectabilidade (FUD).

Características técnicas e vetores

Relatos de analistas indicam que o Olymp Loader é promovido por um operador denominado "OLYMPO" e frequentemente é distribuído por campanhas de engenharia social que mascaram binários maliciosos como instaladores legítimos (ex.: PuTTY, Zoom, Node.js) hospedados em repositórios GitHub comprometidos. Esse uso de plataformas reputadas dificulta a detecção, já que o tráfego para GitHub parece legítimo para muitas ferramentas de segurança.

Evasão e neutralização de defesas

  • O loader embute payloads cifrados no stub e só os executa após neutralizar defesas locais.
  • Uma tática recorrente inclui desativar o Windows Defender por meio de comandos PowerShell (por exemplo: Set-MpPreference -DisableRealtimeMonitoring $true), e usar ferramentas como PowerRun.exe juntamente com mudanças de registro via arquivos .reg para remover componentes do Defender.
  • O malware também pode excluir arquivos ligados a SecurityHealthSystray.exe e manipular o WinSxS para prejudicar mapeamentos usados por Defender.
  • Versões posteriores passaram a usar listas de exclusão extensas (ex.: %APPDATA%, %DESKTOP%) em vez de desativar explicitamente recursos, tornando a detecção baseada em regras menos eficaz.

Payloads e impacto

Analistas da Picus Security reportam que o Olymp Loader tem sido usado para entregar payloads perigosos como LummaC2 e Raccoon Stealer. A rápida evolução do projeto — incluindo mudança de arquitetura de botnet para um modelo dropper em agosto de 2025 — demonstra adaptabilidade do operador às necessidades do mercado criminoso.

Mitigação e recomendações

  • Bloquear executáveis desconhecidos e restringir execução de binários baixados automaticamente por navegadores ou scripts.
  • Aplicar políticas de aplicação de confiança e proteção baseada em reputação para artefatos no GitHub ou outros repositórios de terceiros.
  • Monitorar comandos e alterações no Defender (ex.: Set-MpPreference) como indicadores de comprometimento e criar alertas para alterações de registro e exclusões em WinSxS.
  • Executar análises em ambientes isolados (sandbox) e usar EDR com telemetria de comportamento para identificar tentativas de persistência e exclusões de segurança.

As informações disponíveis descrevem táticas, técnicas e procedimentos observados, incluindo comandos específicos usados para tentar neutralizar a proteção nativa do Windows. Não há, nas fontes citadas, métricas públicas sobre número de vítimas ou campanhas dirigidas a setores específicos.

Baseado em publicação original de Cyber Security News
Tags: #maas #olymp-loader #assembly #malware #evasion #windows-defender #powershell #lummac2 #raccoon-stealer
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar