Downloader

Ein Downloader ist ein kleines First-Stage-Programm, das nach der Ausführung weitere Malware aus der Angreifer-Infrastruktur nachlädt. Im Gegensatz zu Droppern transportiert er kaum eigene Nutzlast; er nutzt HTTP(S)-, DNS- oder Messaging-Kanäle, um C2 zu kontaktieren und Folgestufen abzurufen. Diese Trennung hält die Initialdatei klein und unauffällig und erlaubt Operatoren, Payloads jederzeit zu wechseln. Häufige Varianten sind Makro-/HTA-Skripte, JavaScript-Downloader und signierte trojanisierte Installer. Schutz: Egress-Filterung, DNS-Sinkholing bekannter C2, EDR mit Erkennung von „Herunterladen und Ausführen"-Mustern, E-Mail-/Web-Isolation und Deaktivieren riskanter Scripting-Hosts.