Um downloader é um tipo de trojan cuja única funcionalidade é baixar uma ou mais ameaças digitais, que serão responsáveis por realizar as ações pretendidas por cibercriminosos. Embora um downloader não contenha uma carga maliciosa em si, o que o ajuda a evitar a detecção, esse malware é considerado tanto um método de propagação como uma ameaça devido ao papel que desempenha no processo de infecção, semelhante ao que acontece com os trojans do tipo dropper.
Historicamente, as ameaças digitais foram forçadas a evoluir permanentemente, e um exemplo dessa evolução constante buscada pelos desenvolvedores de malware se reflete no comportamento de alguns códigos maliciosos. Por exemplo, aqueles que detectam que foram executados, mas não no dispositivo da vítima, mas em uma máquina virtual, o que significa que o malware está sendo analisado, seja por um site de análise de malware ou por um analista. E assim como encontramos novos comportamentos e modificações, novas ameaças como os downloaders surgiram com o mesmo objetivo.
Como funciona um downloader?
Os trojans do tipo downloaders geralmente têm como objetivo atingir os computadores dos usuários finais, sendo comumente hospedados como programas que se apresentam como legítimos em sites não oficiais ou de terceiros, como os famosos cracks ou downloads gratuitos de programas pagos.
Para realizar suas ações maliciosas, os downloaders exigem a interação do usuário. Em outras palavras, eles precisam que o arquivo seja executado pela vítima após o download. Depois disso, o malware geralmente executa o download legítimo do software pelo qual se fazia passar - embora também possa não realizar nenhuma ação visível para o usuário - e em segundo plano começa a baixar arquivos adicionais. Esse download pode ser feito de qualquer site da internet que hospede a ameaça que eventualmente infectará o computador da vítima, embora também possa ser enviada de um servidor de comando e controle pertencente ao atacante.
Depois que a ameaça final é baixada no computador, o downloader modifica os registros do sistema afetado para que o malware seja executado toda vez que o sistema for inicializado. Esta ação no registro realizada pelo downloader é fundamental para o funcionamento da ameaça, pois reduz as chances de uma possível detecção por alguns produtos antimalware gratuitos. Dessa forma, o downloader não levanta suspeitas ao executar um arquivo baixado recentemente porque, como destacamos anteriormente, ele não contém uma carga maliciosa em si. Sua função é baixar um arquivo e modificar os registros do sistema para que a ameaça final faça seu trabalho quando o computador for inicializado. Esse comportamento é semelhante ao que os aplicativos executam quando são atualizados automaticamente.
Cabe esclarecer que um downloader não é um "dropper". O termo dropper é frequentemente confundido com downloader porque ambos têm o mesmo objetivo final: instalar uma ameaça no dispositivo da vítima. Ambos são um tipo de trojan, mas o dropper não baixa a ameaça da internet – ele contém a ameaça embutida em si mesmo.
Exemplos de downloaders recentes
Geralmente, os downloaders não costumam pertencer a nenhuma campanha ou família em particular, mas são códigos genéricos com a única funcionalidade de baixar a ameaça principal. No entanto, existem algumas famílias desse tipo de malware que se destacaram nos últimos anos.
Um exemplo disso é o Emotet, uma ameaça que começou como um trojan bancário com suas primeiras aparições em 2014. Pouco tempo depois, ele se tornou um botnet de rápida propagação, infectando computadores com anexos de e-mail maliciosos e baixando outras ameaças como o Trickbot.
O Trickbot também conta com módulos com características de downloader, embora acompanhado de outras funcionalidades que também o categorizam como um trojan bancário. O ransomware Ryuk baixa o Trickbot em sua função como downlodaer.
Tanto o TrickBot quanto o Emotet sofreram grandes golpes em sua infraestrutura: em outubro de 2020, o primeiro sofreu a queda de mais de 90% de sua infraestrutura como resultado de uma aliança de diferentes empresas de tecnologia e segurança cibernética. Logo depois, no início de 2021, a botnet criada pela segunda ameaça foi derrubada graças a uma grande investigação entre as empresas e a INTERPOL.
Outra campanha que analisamos recentemente e que utilizava um trojan downloader é a carteira de criptomoeda Safemoon falsa que, usando um site também falso e uma mensagem de Discord como método de propagação, baixa um downloader que instala uma ferramenta de acesso remoto (RAT) que conta com recursos para espionar o computador infectado, como um keylogger.