Loader

Ein Loader ist eine spezialisierte First-Stage-Komponente, die zusätzliche Malware abruft, dekodiert und im Speicher ausführt — typischerweise per Reflective-DLL-Injection, Process Hollowing oder Shellcode. Häufig profiliert er den Host, schaltet Schutzmechanismen aus und richtet Persistenz ein, bevor er die Kontrolle an die nächste Stufe übergibt. Loader sind zentral für „Malware-as-a-Service"-Ökosysteme, in denen Access Broker Installationen an Ransomware-Affiliates oder Info-Stealer-Operatoren verkaufen. Schutz: EDR/XDR mit verhaltensbasierter Erkennung von Injection-Techniken, AMSI, Constrained Language Mode für PowerShell, Application Allow-Listing und Threat Intel zu Familien wie IcedID, Smoke Loader oder Bumblebee.