privateloader - RunkIntel

# PrivateLoader - O Backbone do Crime-as-a-Service via Pay-Per-Install > **ATIVO | Loader PPI | Windows | Global** - PrivateLoader e o loader proprietario do servico Pay-Per-Install (PPI) russo conhecido como ruzki/InstallsKey, ativo desde maio de 2021. Infectou mais de **1 milhao de computadores em 2023** com media de 3.300-5.000 infeccoes/dia. Distribuiu mais de 2.300 payloads distintos em um ano, incluindo [[s1240-redline-stealer|RedLine]], [[s1148-raccoon-stealer|Raccoon]], [[vidar-stealer|Vidar]], [[s0226-smokeloader|SmokeLoader]] e ransoware. O **Brasil** figura entre os 10 paises mais afetados. > [!danger] Alta prevalencia no Brasil > Bitsight identificou o Brasil como um dos paises com maior concentracao de infeccoes PrivateLoader junto com India, Argentina, Venezuela e Ecuador. A distribuição geografica e consistente com mercados de software pirata - principal vetor de infecção. ## Visão Geral **PrivateLoader** e um downloader escrito em **C++** que serve como infraestrutura central para o servico PPI operado pelo ator russo **ruzki** (alias les0k, zhigalsz). O conceito de Pay-Per-Install permite que qualquer criminoso pague para ter seus payloads instalados em um número específico de maquinas em regioes geograficas escolhidas: - **1.000 instalacoes globais**: US$ 70 - **1.000 instalacoes na Europa**: US$ 300 - **1.000 instalacoes nos EUA**: US$ 1.000 O loader e distribuido principalmente através de **sites com software pirata** otimizados para mecanismos de busca (SEO poisoning), fazendo com que vitimas que buscam software crackeado acabem baixando o PrivateLoader. A plataforma também usa [[s0226-smokeloader|SmokeLoader]] e outros loaders para expandir o botnet. | Campo | Detalhe | |-------|---------| | **Tipo** | Loader PPI (Pay-Per-Install) | | **Operador** | ruzki / doZKey (russo) | | **Linguagem** | C++ (empacotado com VMProtect em amostras recentes) | | **Primeira observacao** | Maio 2021 | | **Status** | Ativo - desenvolvimento continuo | | **Escala** | 1M+ infeccoes em 2023; 5.000/dia em 2024 | | **C2** | HTTP POST para /base/api/getData.php | | **Payloads tipicos** | RedLine, Raccoon, Vidar, SmokeLoader, Mars Stealer | ## Visão Geral Técnica ### Modelo PPI - Funcionamento O modelo Pay-Per-Install funciona como um marketplace de distribuição de malware: **Provedor PPI (ruzki/doZKey):** 1. Mantem botnet de maquinas infectadas com PrivateLoader 2. Aceita pedidos de clientes via forum ou Telegram 3. Entrega payloads dos clientes para o botnet conforme específicacoes geograficas **Cliente PPI:** 1. Fornece URL do payload e quantidade de instalacoes desejadas 2. Específica regioes geograficas alvo 3. Paga em criptomoeda 4. Recebe estatisticas de instalacao ### Cadeia de Infecção ```mermaid graph TB A["🔍 Vitima busca software crackeado Google exibe site malicioso SEO poisoning / T1189"] --> B["⬇️ Download do 'crack' Hospedado em VK.com / Discord Arquivo ZIP com senha"] B --> C["🔓 Extrai e executa PrivateLoader empacotado VMProtect - alto entropy"] C --> D["📡 C2 Check-in POST /base/api/getData.php Envia info do sistema"] D --> E["📋 Recebe lista de payloads JSON com URLs por campanha Filtra por geo / OS"] E --> F["⬇️ Download e execução RedLine + Vidar + SmokeLoader 2.300+ payloads diferentes"] F --> G["💰 Credenciais roubadas Vendidas em mercados Genesis / Russian Market"] ``` ## Timeline ```mermaid timeline title PrivateLoader - Historico 2021-05 : Primeiras observacoes : Intel 471 identifica ruzki PPI 2022-02 : Intel 471 publica análise publica : Documentado por Walmart, Zscaler 2022-09 : SEKOIA liga PrivateLoader ao ruzki : Quatro servidores C2 ativos 2022 : Distribui NetDooka RAT (Trend Micro) : BitSight - India e Brasil no top-10 2023 : 1 milhao de infeccoes no ano : Migrou de Discord para VK.com : VMProtect em amostras recentes 2024 : 5.000 infeccoes/dia estimado : Protocolo de comúnicação atualizado ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1189-drive-by-compromise\|T1189]] | Drive-by Compromise | SEO poisoning - sites de software pirata | | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | Vitima executa "crack" que e o loader | | [[t1608-001-upload-malware\|T1608.001]] | Upload Malware | Payloads hospedados em VK.com / Discord CDN | | [[t1543-003-windows-service\|T1543.003]] | Windows Service | Servico "PowerControl" para persistência | | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | Tarefa executada a cada hora via servico | | [[t1176-browser-extensions\|T1176]] | Browser Extensions | Instala extensoes maliciosas no Chrome/Edge | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files | VMProtect nas amostras recentes | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | C2 via HTTP POST para /base/api/getData.php | | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | Coleta info antes de receber payloads | | [[t1105-ingress-tool-transfer\|T1105]] | Ingress Tool Transfer | Download de múltiplos payloads simultaneamente | ## Payloads Distribuidos PrivateLoader e um dos principais distribuidores de malware commodity globalmente. Familias mais frequentes: | Categoria | Familias | |-----------|---------| | Infostealers | [[s1240-redline-stealer\|RedLine]], [[s1148-raccoon-stealer\|Raccoon]], [[vidar-stealer\|Vidar]], [[mars-stealer\|Mars Stealer]], [[aurora-stealer\|Aurora]] | | Loaders | [[s0226-smokeloader\|SmokeLoader]], [[s0367-emotet\|Emotet]] (historico) | | RATs | NetDooka, [[s1087-asyncrat\|AsyncRAT]] | | Ransomware | LockBit, STOP/Djvu (raro - contra regras PPI) | | Cryptomeiners | XMRig e variantes | ## Impacto no Brasil / LATAM O Brasil e consistentemente identificado entre os paises mais afetados pelo PrivateLoader: - **Distribuição geografica**: Bitsight confirma Brasil, Argentina, Venezuela e Ecuador no top de infeccoes em economias emergentes - **Vetor**: Alta prevalencia de software pirata no Brasil cria surface de ataque ideal para SEO poisoning - **Downstream**: Credenciais roubadas de brasileiros aparecem regularmente em mercados como Russian Market e Genesis Market > [!warning] Superficie de Ataque Brasileira > A alta taxa de uso de software nao-licenciado no Brasil torna o PrivateLoader particularmente eficaz. Programas de conscientizacao sobre riscos de downloads de fontes nao-oficiais sao medida preventiva direta contra este vetor. ## Detecção e Caca a Ameaças ### Indicadores Comportamentais - Arquivo ZIP protegido por senha baixado de site de "crack" seguido de execução de EXE - Processo com alta entropia (VMProtect) realizando POST para `/base/api/getData.php` - Download de múltiplos EXEs em rapida sequencia para `%TEMP%` ou `%APPDATA%` - Criação de servico Windows "PowerControl" ou "Power monitoring service" - Instalacao silenciosa de extensao no Chrome ou Edge ### Regras de Detecção ``` # Detecção de padrão de C2 PrivateLoader Network: HTTP POST contendo path /base/api/getData.php Registry: HKLM\SYSTEM\...\Services\PowerControl Process: schtasks.exe criando tarefa de execução horaria File: multiplos EXEs baixados em <60s para mesma pasta temp ``` ## Referências - [BitSight - Hunting PrivateLoader (2024)](https://www.bitsight.com/blog/hunting-privateloader-malware-behind-installskey-ppi-service) - [Intel 471 - PrivateLoader First Step](https://www.intel471.com/blog/privateloader-malware) - [SEKOIA - PrivateLoader e ruzki (2022)](https://thehackernews.com/2022/09/researchers-find-link-bw-privateloader.html) - [Darktrace - PrivateLoader Network IoCs](https://www.darktrace.com/de/blog/privateloader-network-based-indicators-of-compromise) - [Abuse.ch - PrivateLoader IoCs](https://threatfox.abuse.ch/browse/malware/win.privateloader/)