Дроппер

Дроппер — компонент доставки, который несёт одну или несколько встроенных полезных нагрузок и записывает их на диск или в память при запуске. В отличие от загрузчика-downloader, ему не нужно обращаться в интернет за следующей стадией. Дропперы часто приходят в виде макродокументов, контейнеров ISO/IMG, подписанных инсталляторов или троянизированных утилит. Перед запуском конечного зловреда (инфостилера, шифровальщика, RAT) они обычно выполняют антианалитические проверки, показывают приманки, настраивают persistence и инжектят процессы. Защита: фильтрация почты и веба, песочница для вложений, белые списки приложений, поведенческий EDR, отключение автозапуска макросов и автомонтирования ISO.