11 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a loader.
O carregador de malware Foxveil, ativo desde 2025, usa plataformas legítimas como Cloudflare e Discord para hospedar shellcode e inclui mutação de strings em tempo real para burlar detecção estática, representando um desafio para defesas tradicionais.
Campanha identificada pela Morphisec ativa repositórios GitHub reativados para distribuir PyStoreRAT, um loader persistente que entrega stealers (ex.: Rhadamanthys) e adapta sua execução quando detecta produtos de segurança. Alvo declarado: administradores de TI e profissionais de OSINT. Recomendações incluem defesa comportamental e bloqueio de execução de scripts não verificados.
Caminho Loader é um loader‑as‑a‑service identificado pela sandbox ANY.RUN que esconde assemblies .NET em imagens via esteganografia LSB e entrega payloads como REMCOS e AsyncRAT. Amostras com strings em português e o namespace "HackForums.gigajew" reforçam ligação ao Brasil; vítimas foram confirmadas no Brasil, África do Sul, Ucrânia e Polônia.
Pesquisadores da Expel relataram que o loader JavaScript GootLoader passou a empacotar payloads em um ZIP malformado gerado pela concatenação de 500 a 1.000 arquivos ZIP, técnica usada como antianálise para contornar scanners e sandboxes. O relatório descreve a técnica, possíveis impactos na detecção e recomendações para analistas, sem detalhar alcance ou amostras públicas.
A versão 3 do loader Kazuar, atribuída ao Turla, implementa um bypass patchless para ETW e AMSI usando breakpoints de hardware e vectored exception handlers, combinada com DLL sideloading e persistência via COM.
O CastleLoader, loader sofisticado que opera predominantemente em memória, tem sido usado desde 2025 como vetor inicial contra agências governamentais e infraestrutura crítica. A técnica documentada inclui uso de instaladores Inno Setup, AutoIt e process hollowing via jsc.exe, complicando detecção por EDRs fracos.
Quatro clusters de atividade foram observados utilizando o loader CastleLoader, sustentando a avaliação de que a ferramenta opera como malware‑as‑a‑service. A Recorded Future (Insikt Group) atribuiu o nome GrayBravo ao operador ligado à infraestrutura.
A campanha JS#SMUGGLER injeta loaders JavaScript em sites comprometidos para entregar um HTA que instala o NetSupport RAT, segundo análise da Securonix. Não há dados públicos sobre número de vítimas; recomenda-se auditoria de sites e bloqueio de HTA.
Pesquisas indicam que o grupo MuddyWater passou a usar um loader chamado Fooder e backdoors que operam somente em memória (MuddyViper), sinalizando uma mudança para operações mais furtivas de espionagem; reportagens não listam vítimas nem IoCs completos.
Pesquisas apontam campanhas que usam falsos avisos de atualização em sites legítimos para entregar o framework SocGholish; o JavaScript ofuscado carrega loaders, PowerShell com evasão e backdoors Python agendados, servindo de porta de entrada para agentes remotos e ransomware.