privateloader - RunkIntel

# PrivateLoader > Tipo: **loader / PPI service** - Ativo desde maio de 2021 - [Intel 471 Analysis](https://intel471.com/blog/privateloader-malware) > [!warning] Pay-Per-Install com 1M+ Infeccoes - Presente no Brasil > O PrivateLoader e um servico Pay-Per-Install (PPI) que distribuiu mais de 1 milhao de infeccoes em 2023. Opera via sites de software craqueado com envenenamento de SEO. Brasil e India figuram consistentemente entre os paises mais afetados. Carrega RedLine, Vidar, Raccoon, SmokeLoader e outros stealers/ransomware como payloads. ## Visão Geral [[privateloader|PrivateLoader]] e um loader modular escrito em C++ disponibilizado como servico Pay-Per-Install (PPI) e operado pelos atores conhecidos como **ruzki** e **doZKey** em foros underground russos. Ativo desde maio de 2021, o servico acumulou mais de **1 milhao de infeccoes confirmadas** em 2023 e funciona como infraestrutura de distribuição para dezenas de familias de malware - tornando-o um dos mecanismos de entrega mais prolicos do ecossistema do cibercrime. O vetor de distribuição principal e **envenenamento de SEO**: o PrivateLoader e distribuido via sites que aparecem nos primeiros resultados de busca para termos como "Adobe Photoshop crackeado", "Microsoft Office gratis" e "AutoCAD serial key". Os usuarios que baixam e executam o instalador falso recebem o PrivateLoader junto com o software prometido (ou apenas o loader), iniciando a cadeia de infecção. O modelo PPI do PrivateLoader funciona como mercado: clientes pagam por infeccoes em regioes geograficas e setores específicos. Diferentes payloads sao implantados dependendo do cliente contratante - [[s1240-redline-stealer|RedLine]], [[vidar-stealer|Vidar]], [[s1148-raccoon-stealer|Raccoon Stealer]], [[s0226-smokeloader|SmokeLoader]], XMRig e outros stealers e loaders. O Brasil figura consistentemente como pais de alto volume de infeccoes ao lado de India, Indonesia e Ucrania. **Plataformas:** Windows ## Como Funciona O PrivateLoader opera em tres módulos com funcionalidades distintas: 1. **Módulo Core (loader primario):** Executa verificacoes anti-análise, detecta sandbox via CPUID e tempo de execução ([[t1027-obfuscated-files-or-information|T1027]]), contata C2 para receber lista de payloads a instalar 2. **Módulo C2:** Comúnicação criptografada com servidores de controle para receber configuracoes, reportar status de infeccoes (base para pagamento PPI) e receber atualizacoes 3. **Módulo de Persistência:** Adiciona entrada no registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), cria tarefa agendada ([[t1053-005-scheduled-task|T1053.005]]) ou instala extensao de browser maliciosa ([[t1176-browser-extensions|T1176]]) O processo de infecção tipico: - Usuario busca software pirata via Google ou Bing - Site envenenado com SEO aparece no topo dos resultados - Download de instalador .exe ou .zip com loader - Execução via clique do usuario ([[t1204-002-malicious-file|T1204.002]]) - PrivateLoader instala payloads configurados pelo cliente PPI - Infecção reportada ao servidor - pagamento ao operador do site ```mermaid graph TB A["Busca por software pirata SEO poisoning T1608.001 Adobe / Office / AutoCAD"] --> B["Download instalador falso Execução usuario T1204.002 Link malicioso T1566.002"] B --> C["PrivateLoader core Anti-análise / sandbox evasion T1027 - ofuscação"] C --> D["Comúnicação C2 Lista de payloads a instalar Configuração por cliente PPI"] D --> E["Persistência Registry Run T1547.001 Scheduled Task T1053.005"] E --> F["Instalacao de payloads RedLine / Vidar / Raccoon SmokeLoader / XMRig"] F --> G["Infecção reportada Pagamento PPI ao operador Dados roubados ao cliente"] classDef vector fill:#e74c3c,color:#fff classDef execute fill:#e67e22,color:#fff classDef core fill:#8e44ad,color:#fff classDef c2 fill:#2980b9,color:#fff classDef persist fill:#27ae60,color:#fff classDef payload fill:#2c3e50,color:#fff classDef report fill:#1a252f,color:#fff class A vector class B execute class C core class D c2 class E persist class F payload class G report ``` ## Timeline ```mermaid timeline title PrivateLoader - Evolução Mai 2021 : PrivateLoader identificado pela primeira vez : Operadores ruzki/doZKey em foros russos 2022 : Expansao do servico PPI : Integracao com multiplas familias de malware 2023 : Pico de atividade - 1M+ infeccoes : Brasil e India em top de paises afetados : Distribuindo RedLine, Vidar, SmokeLoader 2024 : Servico continua ativo com novas variantes : Expansao para distribuição de ransomware loaders 2025 : PrivateLoader ativo - integracao com novos stealers ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Resource Development | [[t1608-001-upload-malware\|T1608.001]] | Upload de Malware - sites SEO poisoning | | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos em resultados de busca | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Execução pelo usuario | | Persistence | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | | Persistence | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registry Run Keys | | Persistence | [[t1176-browser-extensions\|T1176]] | Extensoes de Browser maliciosas | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscação e evasão de sandbox | | Defense Evasion | [[t1055-process-injection\|T1055]] | Process Injection | ## Relevância LATAM/Brasil O [[privateloader|PrivateLoader]] representa ameaça direta para usuarios brasileiros por uma razao estrutural: o Brasil tem uma das maiores taxas de uso de software pirata do mundo. A cultura de buscar "crack" ou "serial" para softwares pagos e o vetor exato que o PrivateLoader explora via SEO poisoning. O risco e amplificado no contexto corporativo brasileiro: funcionarios que usam computadores da empresa para baixar software nao-autorizado podem introduzir o PrivateLoader em redes corporativas, iniciando uma cadeia de infecção que resulta em roubo de credenciais corporativas, acesso a sistemas financeiros ou eventual implantação de ransomware. As familias de malware distribuidas pelo PrivateLoader mais relevantes para o Brasil incluem: - [[s1240-redline-stealer|RedLine Stealer]] - roubo de credenciais bancarias e carteiras crypto - [[vidar-stealer|Vidar Stealer]] - exfiltração de cookies de sessao bancaria - [[s1148-raccoon-stealer|Raccoon Stealer]] - coleta massiva de credenciais - XMRig - minerador que consome recursos corporativos **Setores impactados:** [[financial|financeiro]] - [[technology|tecnologia]] - PMEs em geral ## Detecção - Bloquear downloads de sites de software pirata em proxies corporativos e DNS filtering - Detectar criação de tarefas agendadas incomuns por processos fora de C:\Windows - Monitorar acesso de processos desconhecidos a perfis de browser (Chrome `Login Data`, Firefox `logins.json`) - Identificar extensoes de browser nao-autorizadas instaladas fora das lojas oficiais ## Referências - [1](https://intel471.com/blog/privateloader-malware) Intel 471 - PrivateLoader Malware Analysis (2022) - [2](https://www.trendmicro.com/en_us/research/22/l/privateloader-the-loader-of-the-underground.html) Trend Micro - PrivateLoader Underground Service (2022) - [3](https://www.zscaler.com/blogs/security-research/peeking-privateloader) Zscaler - Peeking into PrivateLoader (2022) - [4](https://research.checkpoint.com/2023/privateloader-the-malware-behind-a-large-pay-per-install-network/) Check Point - PrivateLoader Pay-Per-Install Network (2023) - [5](https://www.recordedfuture.com/privateloader-malware-analysis) Recorded Future - PrivateLoader Malware Analysis (2022)