Загрузчик-downloader

Downloader — это небольшая программа первой стадии, которая после запуска скачивает дополнительную малварь с инфраструктуры злоумышленника. В отличие от дропперов, она почти не несёт собственной нагрузки и полагается на каналы HTTP(S), DNS или мессенджеров для связи с C2 и подгрузки следующих стадий. Такое разделение делает начальный бинарь небольшим и неприметным и позволяет оператору менять нагрузку по запросу. Часто встречаются макро-/HTA-скрипты, JavaScript-загрузчики и подписанные троянизированные инсталляторы. Защита: фильтрация исходящего трафика, DNS-sinkhole известных C2, EDR с распознаванием паттернов «скачать и выполнить», изоляция почты/веба и отключение ненужных скриптовых движков.