Loader

Um loader é um componente especializado de primeira fase cuja função principal é obter, descodificar e executar malware adicional em memória, tipicamente por injeção reflexiva de DLL, process hollowing ou shellcode. Costuma traçar o perfil do anfitrião, desativar defesas e estabelecer persistência antes de passar o controlo à fase seguinte. Os loaders são centrais no ecossistema "malware-as-a-service", onde corretores de acesso vendem instalações a afiliados de ransomware ou operadores de info-stealers. As defesas incluem EDR/XDR com deteção comportamental de técnicas de injeção, AMSI, Constrained Language Mode para PowerShell, allow-listing de aplicações e inteligência sobre famílias como IcedID, Smoke Loader e Bumblebee.