# XLoader > Tipo: **malware** · S1207 · [MITRE ATT&CK](https://attack.mitre.org/software/S1207) ## Descrição [[s1207-xloader|XLoader]] é um infostealer e keylogger distribuído como Malware as a Service (MaaS), em uso desde pelo menos 2016 sob o nome Formbook. Após o código-fonte do Formbook vazar online, o malware foi renomeado e relançado como XLoader com melhorias de evasão e capacidades expandidas. O XLoader rouba credenciais de navegadores web, clientes de email e aplicações FTP, monitora a área de transferência, captura screenshots e registra keystrokes - tornando-se uma ferramenta abrangente de coleta de inteligência operacional para seus operadores. O XLoader utiliza técnicas sofisticadas de evasão para dificultar detecção e análise: process hollowing injeta o payload em processos legítimos do Windows, evasão de sandbox detecta ambientes de análise antes de executar, e arquivos criptografados/codificados obscurecem o payload. O malware estabelece persistência via Scheduled Tasks e usa a API nativa do Windows para operações de baixo nível. Scripts AutoHotKey/AutoIT são frequentemente usados como droppers, e o XLoader apaga rastros após coleta para dificultar análise forense. Como serviço MaaS, o XLoader é acessível a qualquer ator com capacidade financeira básica - sem necessidade de expertise técnica avançada para operação. Isso democratiza o acesso a capacidades de infostealing sofisticadas, resultando em sua utilização por uma ampla gama de atores, desde grupos de espionagem até cibercriminosos oportunistas. O XLoader tem sido amplamente observado em campanhas de phishing distribuindo documentos Office maliciosos ou executáveis disfarçados como software legítimo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1055-012-process-hollowing|T1055.012 - Process Hollowing]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1059-010-autohotkey-autoit|T1059.010 - AutoHotKey & AutoIT]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1106-native-api|T1106 - Native API]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] ## Detecção A detecção do XLoader deve focar em: process hollowing (processos legítimos do Windows com código injetado), criação de Scheduled Tasks por processos incomuns, e acesso a stores de credenciais de múltiplos navegadores em sequência. Monitoramento de clipboard API por processos não relacionados a aplicações de produtividade, e detecção de AutoHotKey/AutoIT executando scripts não reconhecidos são indicadores relevantes. Soluções EDR com capacidade de detectar hollowing e hooking de API são essenciais; análise de tráfego de rede para padrões de beacon HTTP/HTTPS de processos incomuns também contribui para detecção. ## Relevância LATAM/Brasil O XLoader/Formbook é um dos infostealers mais prevalentes globalmente, com distribuição ampla via campanhas de phishing em português direcionadas ao Brasil. O modelo MaaS torna o XLoader acessível a grupos de cibercrime brasileiro de menor sofisticação técnica, que o utilizam para roubar credenciais bancárias, tokens de sessão e dados corporativos. Organizações brasileiras nos setores financeiro, varejo e logística são alvos frequentes de campanhas distribuindo XLoader via emails de phishing temáticos (faturas, boletos, notificações de entrega). A combinação de keylogging, captura de clipboard e roubo de cookies de sessão torna o XLoader especialmente perigoso para usuários de internet banking corporativo. ## Referências - [MITRE ATT&CK - S1207](https://attack.mitre.org/software/S1207)