# Power Loader > Tipo: **loader** · S0177 · [MITRE ATT&CK](https://attack.mitre.org/software/S0177) ## Descrição [[s0177-power-loader|Power Loader]] é um código modular de injeção comercializado em fóruns de cibercrime entre 2012 e 2013, utilizado como downloader e injector em múltiplas famílias de malware, incluindo Carberp, Redyms e Gapz. Seu diferencial técnico é o uso de Extra Window Memory (EWM) Injection ([[t1055-011-extra-window-memory-injection|T1055.011]]) - uma técnica rara e sofisticada que injeta código malicioso nos 40 bytes de memória extra associados a cada jánela do Windows (gerenciados pelo subsistema de jánelas `win32k.sys`), escapando da maior parte das ferramentas antivírus da época. A técnica de EWM injection explora o fato de que cada objeto HWND (handle de jánela) no Windows possui 40 bytes de memória extra acessível via `SetWindowLong()`/`GetWindowLong()`. O Power Loader usa esses bytes para armazenar ponteiros de código malicioso que são executados no contexto do processo alvo, tornando a injeção práticamente indistinguível do comportamento normal da API Win32. Essa abordagem tornou o Power Loader um dos loaders mais furtivos disponíveis no mercado de cibercrime de sua época. Embora o Power Loader sejá considerado inativo como produto comercial independente, a técnica de EWM injection que ele popularizou continua relevante. Pesquisadores identificaram uso de técnicas similares em malwares modernos, e o código-base do Power Loader influenciou o desenvolvimento de loaders posteriores no ecossistema de cibercrime. As famílias que o utilizaram - especialmente Gapz e Redyms - foram investigadas extensamente por empresas de segurança russas e europeias. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-011-extra-window-memory-injection|T1055.011 - Extra Window Memory Injection]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 8 (CreateRemoteThread):** Criação de thread em processo alvo - parte do processo de injeção via EWM - **Monitoramento de API Win32:** Chamadas suspeitas a `SetWindowLong()` seguidas de `PostMessage()` ou `SendMessage()` para jánelas de processo externo - padrão de EWM injection - **EDR (comportamental):** Processo escrevendo em memória de jánela de processo diferente sem ser um processo de acessibilidade reconhecido **Regras de detecção:** - Detecção de chamadas à API `SetWindowLong`/`SetWindowLongPtr` com valores de índice `GWLP_USERDATA` por processos suspeitos em jánelas de processos diferentes ## Relevância LATAM/Brasil O Power Loader, embora inativo como produto, representa um caso histórico importante de malware-as-a-service no ecossistema de cibercrime. As técnicas de injeção via EWM que ele popularizou foram adotadas por grupos de cibercrime financeiro que operam na América Latina. Compreender o Power Loader ajuda analistas brasileiros a identificar e defender contra técnicas de injeção avançadas usadas por malwares bancários modernos que infectam sistemas financeiros no Brasil, onde a sofisticação técnica dos grupos de cibercrime financeiro é reconhecidamente alta. ## Referências - [MITRE ATT&CK - S0177](https://attack.mitre.org/software/S0177) - [ESET Research - Gapz and Redyms Droppers Based on Power Loader Code](https://www.welivesecurity.com/2013/01/31/gapz-and-redyms-droppers-based-on-power-loader-code/) - Janeiro 2013