# PrivateLoader - Serviço PPI InstallsKey/ruzki > [!high] Ecossistema PPI de Alta Escala - Infraestrutura do PrivateLoader > InstallsKey (também conhecido como ruzki) é o serviço de Pay-Per-Install (PPI) que opera a infraestrutura do PrivateLoader. Fundado em 2021 por operadores de língua russa, o serviço vende "instalações" de malware a preço de mercado por geolocalização, atuando como intermediário entre operadores de malware e campanhas de distribuição em massa. Em 2023, o serviço era responsável por distribuir RedLine, Vidar, SmokeLoader, Lumma e outros stealers em escala de milhões de hosts. ## Visão Geral O InstallsKey/ruzki é o modelo de negócio por trás do PrivateLoader - um serviço criminal de Pay-Per-Install que conecta operadores de malware (compradores de infecções) com uma infraestrutura de distribuição de larga escala. O pseudônimo `ruzki` foi identificado pela Intel471 como o administrador principal do serviço, ativo em fóruns de cibercrime russos como XSS.is e Exploit.in desde pelo menos 2021. O serviço funciona como uma "bolsa de valores" de infecções: clientes depositam criptomoedas, específicam geolocalização e volume desejado, e o serviço garante a entrega dos payloads via sua rede de distribuição. O modelo de precificação reflete a demanda por geografias específicas: infecções em países desenvolvidos (EUA, Canadá, Europa Ocidental, Austrália) custam entre US$ 100-150 por mil, enquanto infecções em países emergentes como Brasil, Índia e Europa Oriental custam US$ 20-70 por mil. Este modelo de preços é consistente com os preços práticados em outros serviços PPI do mercado criminoso russo e reflete o potencial de monetização diferenciado por região - um stealer bancário em uma conta corporativa americana tem maior potencial de extração de valor que em mercados com menor poder aquisitivo. A infraestrutura técnica do serviço é sofisticada: servidores C2 com alta disponibilidade, painéis de controle para clientes acompanharem contagens de infecção em tempo real, sistema de verificação de entrega, e mecanismo de rotação de domínios C2 para resistência a blocklists. O PrivateLoader como componente técnico implementa verificação anti-sandbox para não desperdiçar "instalações" em ambientes de análise que não seriam contabilizadas como infecções legítimas. ## Modelo de Negócio PPI **Preços por geolocalização (2023, estimados):** - EUA: US$ 100-150 por 1.000 instalações - Europa Ocidental (DE, FR, UK): US$ 70-100 por 1.000 - Canadá/Austrália: US$ 80-120 por 1.000 - Brasil: US$ 30-70 por 1.000 - Índia/Sudeste Asiático: US$ 10-30 por 1.000 **Clientes documentados do serviço:** - Operadores do RedLine Stealer - Operadores do Vidar Stealer - Distribuidores do SmokeLoader - Operadores do RisePro e Lumma Stealer - Grupos de mineração de criptomoedas **Infraestrutura:** - Painel de controle web para clientes (login, dashboards, relatórios) - API para integração automatizada de campanhas - Sistema de verificação de infecções com screenshots como prova - Rotação automatizada de domínios C2 para resistência ## Attack Flow Operacional ```mermaid graph TB A["💰 Cliente PPI<br/>Deposita cripto no painel"] --> B["⚙️ Configura Campanha<br/>Geolocalização, volume, payload URL"] B --> C["🌐 Rede de Distribuição<br/>Sites SEO + Malvertising"] C --> D["🖥️ Vítima Infectada<br/>PrivateLoader instalado"] D --> E["✅ Verificação<br/>Screenshot confirma infecção válida"] E --> F["📦 Deploy do Payload<br/>RedLine, Vidar, SmokeLoader"] F --> G["💳 Pagamento Confirmado<br/>Crédito na conta do distribuidor"] ``` *Componente técnico: [[privateloader-seo-campaign-2023]] · Payloads: [[s1240-redline-stealer]], [[vidar-stealer]], [[s0226-smokeloader]]* ## Timeline do Ecossistema ```mermaid timeline title InstallsKey/ruzki PPI - Linha do Tempo 2021 : ruzki ativo em fóruns russos : InstallsKey lança serviço PPI : PrivateLoader como componente técnico 2022 : Intel471 publica análise : Sekoia documenta infraestrutura : Escala: centenas de milhares de infecções 2023 : Pico de atividade : 1+ milhão de infecções estimadas : Brasil: top 5 de países afetados : Novos payloads: RisePro, Lumma 2024 : Resiliência demonstrada : Rotação de infraestrutura : Continuidade apesar de relatórios públicos ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Acquire Infrastructure | [[t1583-acquire-infrastructure\|T1583]] | Domínios C2 rotativos, servidores de staging | | Process Injection | [[t1055-process-injection\|T1055]] | Loader injeta payload em processo legítimo | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Empacotamento e ofuscação do loader para evasão | | Malicious File Execution | [[t1204-002-malicious-file\|T1204.002]] | Usuário executa instalador falso | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Payloads exfiltram dados via canais C2 | | Bypass UAC | [[t1548-002-bypass-uac\|T1548.002]] | Escalada de privilégio para instalar componentes de persistência | ## Relevância para o Brasil e LATAM O serviço InstallsKey/ruzki tem impacto direto e documentado no Brasil: - **Precificação competitiva**: o Brasil está na faixa de preço intermediária (US$ 30-70/mil), o que o torna um alvo atrativo para operadores que buscam volume de infecções com menor custo de aquisição - especialmente para campanhas de mineração e stealers de credenciais genéricas - **Alta demanda por software pirata**: o Brasil tem uma das maiores taxas de uso de software pirata entre países emergentes, o que aumenta a superfície de ataque para o modelo de distribuição do PrivateLoader via sites de pirataria - **Cadeia de comprometimento corporativo**: infecções em computadores pessoais de funcionários que se conectam a VPNs corporativas são um vetor de comprometimento de redes empresariais brasileiras; credenciais do Microsoft 365, Google Workspace e VPNs corporativas coletadas pelo RedLine ou Vidar representam acesso de alto valor - **Rastreamento por CERT.br**: o CERT-BR registrou campanhas distribuindo stealers via sites de software pirata com indicadores compatíveis com a infraestrutura do PrivateLoader em 2022-2023 ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - PrivateLoader PPI (TLP:GREEN) > **Padrão de rede:** > Conexões HTTP/HTTPS em sequência rápida para múltiplos domínios após execução de instalador > User-Agent incomum em requisições de download de payload > > **Comportamento no host:** > Processo filho incomum criado por instalador de `%Downloads%` > Múltiplos executáveis baixados e executados em sequência em < 60 segundos > > **Fontes de blocklists:** > [Sekoia PrivateLoader IOCs](https://blog.sekoia.io/privateloader-the-loader-of-the-future/) · [Intel471](https://intel471.com/blog/privateloader-malware) · [ANY.RUN](https://any.run/malware-trends/privateloader) **Mitigações recomendadas:** - Implementar AppLocker/WDAC para bloquear execução de binários não assinados por usuários comuns - impede a cadeia de infecção do PrivateLoader desde o início - DNS filtering com categorias de bloqueio para sites de pirataria e domínios C2 conhecidos - Política de segurança proibindo instalação de software não aprovado em dispositivos corporativos - Monitorar volumes de download e execução de binários novos nos endpoints via EDR - [[m1049-antivirus-antimalware|EDR]] com heurística de comportamento de loader - acesso a dados de navegador por processo recém-criado é sinal de alerta crítico ## Referências - [1](https://intel471.com/blog/privateloader-malware) Intel471 - PrivateLoader: The Malware Behind the Millions (2022) - [2](https://blog.sekoia.io/privateloader-the-loader-of-the-future/) Sekoia - PrivateLoader: The Loader of the Future (2022) - [3](https://decoded.avast.io/martinhron/meduza-and-privateloader-the-secret-behind-the-millions/) Avast - Meduza and PrivateLoader: The Secret Behind the Millions (2023) - [4](https://attack.mitre.org/software/S1003/) MITRE ATT&CK - PrivateLoader S1003 (2024) - [5](https://www.zscaler.com/blogs/security-research/privateloader-ppi-service) Zscaler ThreatLabz - PrivateLoader PPI Service (2023) - [6](https://any.run/malware-trends/privateloader) ANY.RUN - PrivateLoader Malware Trend Analysis (2024) - [7](https://socprime.com/blog/privateloader-malware-analysis/) SOC Prime - PrivateLoader Detection Engineering (2023)