Loader

Un loader est un composant spécialisé de première étape dont la tâche principale est de récupérer, décoder et exécuter des malwares supplémentaires en mémoire, typiquement via injection réflective de DLL, process hollowing ou shellcode. Il profile souvent l'hôte, désactive des défenses et installe la persistance avant de passer la main à l'étape suivante. Les loaders sont au cœur de l'écosystème « malware-as-a-service », où les courtiers d'accès vendent des installs à des affiliés rançongiciel ou des opérateurs d'info-stealers. Les défenses incluent EDR/XDR avec détection comportementale des injections, AMSI, Constrained Language Mode pour PowerShell, allow-listing et threat intel sur des familles comme IcedID, Smoke Loader, Bumblebee.