# Lazarus Loader > Tipo: **loader** · [MITRE ATT&CK](https://attack.mitre.org/software/S0408) ## Descrição O [[s0408-lazarus-loader|Lazarus Loader]] é uma categoria de componentes de primeiro e segundo estágio utilizados pelo [[g0032-lazarus-group|Lazarus Group]] para preparar o ambiente comprometido e implantar backdoors e ferramentas de pós-exploração mais sofisticados. O [[g0032-lazarus-group|Lazarus Group]] é conhecido por sua abordagem em múltiplos estágios, com loaders responsáveis pela desobfuscação e execução de payloads criptografados em memória, dificultando análise forense e detecção por antivírus. Loaders associados ao [[g0032-lazarus-group|Lazarus Group]] incluem variantes do DTRACK loader, Manuscrypt, BLINDINGCAN loader e outros componentes de implantação. Técnicamente, os loaders do [[g0032-lazarus-group|Lazarus Group]] implementam decodificação em memória de payloads cifrados ([[t1140-deobfuscatedecode-files-or-information|T1140]]) com arquivos criptografados/codificados em disco ([[t1027-013-encryptedencoded-file|T1027.013]]) para maximizar evasão de antivírus. DLL side-loading ([[t1574-002-dll-side-loading|T1574.002]]) e injeção de DLL ([[t1055-001-dynamic-link-library-injection|T1055.001]]) são técnicas comuns para execução em contexto de processos legítimos. Persistência é estabelecida via serviço Windows ([[t1543-003-windows-service|T1543.003]]) ou chaves de registro de autorun ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) antes do download e execução do payload final ([[t1105-ingress-tool-transfer|T1105]]). O design de loaders separados dos backdoors principais reflete a maturidade operacional do [[g0032-lazarus-group|Lazarus Group]] - caso o loader sejá detectado e removido, o payload principal pode não ser identificado e removido também, e vice-versa. Adicionalmente, loaders diferentes para payloads similares tornam a detecção baseada em assinaturas mais difícil e complicam a atribuição por pesquisadores de segurança que podem não ver o payload final completo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção Detecção de loaders do [[g0032-lazarus-group|Lazarus Group]] foca em comportamentos de decodificação e injeção de payload em memória. Indicadores incluem: processos legítimos carregando DLLs de caminhos incomuns; decodificação XOR/AES em memória seguida de execução de shellcode (detectável por EDR com capacidade de análise de memória); e criação de serviços Windows com nomes que imitam serviços legítimos. CISA, FBI e NSA públicaram alertas específicos sobre infraestrutura e IoCs do [[g0032-lazarus-group|Lazarus Group]] que devem ser integrados a plataformas de TIP corporativas. ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] representa uma das ameaças financeiras mais sérias para o Brasil, com histórico de ataques a bancos via SWIFT, roubos de exchanges de criptomoedas e campanhas de espionagem industrial. Loaders como o [[s0408-lazarus-loader|Lazarus Loader]] são frequentemente a peça inicial de ataques de múltiplos estágios de alto impacto financeiro. O setor financeiro brasileiro - especialmente bancos com sistemas SWIFT, exchanges de criptoativos e fintechs com transações de alto valor - deve priorizar defesas contra as técnicas de loader e persistência características do [[g0032-lazarus-group|Lazarus Group]]. ## Referências - [MITRE ATT&CK](https://attack.mitre.org)