Загрузчик (loader)

Лоадер — специализированный компонент первой стадии, основная задача которого — получить, декодировать и запустить в памяти дополнительные зловреды, обычно через рефлективную DLL-инъекцию, process hollowing или шеллкод. Перед передачей управления следующей стадии он часто профилирует хост, отключает защиту и закрепляется в системе. Лоадеры — центральный элемент экосистем Malware-as-a-Service, где «брокеры доступа» продают установки операторам шифровальщиков и инфостилеров. Защита: EDR/XDR с поведенческим обнаружением техник инъекций, AMSI, Constrained Language Mode для PowerShell, белые списки приложений и киберразведка о популярных семействах вроде IcedID, Smoke Loader и Bumblebee.