Menaces cyber : qu’est-ce qu’un loader ?

Flashpoint Intel le résumait en juillet 2018, les loaders, sont des logiciels qui « pour l’essentiel, n’ont qu’une seule tâche : récupérer des exécutables malveillants ou des charges malicieuses à partir d’un serveur contrôlé par un attaquant ». 

Traditionnellement, « ils sont plutôt légers (moins de 50 ko) afin d’échapper à la détection par un antivirus et d’autres technologies de surveillance ». 

Cette furtivité est mise à profit par d’autres pour déployer, notamment, des infostealers à l’insu des logiciels de protection tels que les antivirus.

Au printemps 2023, nous nous sommes penchés sur plus de 66 000 logs de l’infostealer Redline – correspondant à autant de PC du monde entier –, diffusés gratuitement sur des chaînes Telegram en l’espace d’un mois. 

Windows Defender était mentionné dans près de 40 000 logs, mais pas systématiquement seul : ce n’était donc pas nécessairement lui le « fautif ». Les produits de Norton, McAfee (et Trellix), Trend Micro, Kaspersky, Eset, AVG, Avira, Panda, Malwarebytes, Bitdefender, Comodo, AhnLab, Sophos, F-Secure, figuraient également dans les logs Redline que nous avions alors étudiés. 

Parmi les éditeurs sollicités pour expliquer ces constatations, Eset avançait notamment l’explication suivante : « dans certains cas, le malware est déployé à l’aide d’un loader ou downloader plus complexe que RedLine lui-même. Il est possible que certains d’entre eux contiennent des fonctionnalités plus avancées d’évasion ou d’exploitation. Ils sont généralement très “obfusqués” [N.D.R. : traces masquées]. Cette obfuscation peut aider à éviter la détection sur le disque, mais n’est pas suffisante pour échapper aux détections en mémoire ». 

Dans certains logs étudiés, nous avions justement trouvé des traces de ModernLoader, dont les équipes Talos de Cisco présentaient une analyse en septembre 2022.

Pour expliquer des pluri-infections par infostealer, constatées à l’automne dernier, les analystes TDR de Sekoia.io expliquaient alors : « certains acteurs de la menace distribuent leurs builds d’infostealer par l’intermédiaire de services de “Pay-Per-Install”, pour déléguer cette tâche à des acteurs spécialisés ». Las, « en général ces services de PPI ont peu de scrupules et distribuent plusieurs payloads sur un poste infecté ». 

Et justement, ces déploiements se font via des… loaders : « il arrive même qu’un loader télécharge et exécute un autre loader, ce qui entraîne des infections en chaîne… Dans ces scénarios, les données volées finissent donc dans les logs de plusieurs acteurs de la menace ».

À l’automne dernier, Le CERT Renater a d’ailleurs rapporté le cas de deux incidents impliquant au moins un loader et s’étant soldés par le déclenchement du ransomware Stop/Djvu : « les traces d’infection […] ont permis de confirmer que l’utilisateur a bien téléchargé un premier Loader (peut-être PrivateLoader ou SmokeLoader) qui a ensuite permis de télécharger une panoplie de malwares incluant Amadey, Raccoon, RisePro Stealer, Stealc… Ils ont permis d’exfiltrer de nombreux documents et de nombreuses données d’identification ».

Ces loaders ne manquent pas et certains sont même proposés… en mode service. Détaillant AceCryptor au printemps 2023, les chercheurs d’Eset évoquaient ainsi un camoufleur proposé en mode service (CaaS, pour Cryptor-as-a-Service) activement maintenu pour préserver son état « FUD » (fully undetectable, ou « pleinement indétectable », en français). 

Plus récemment, les équipes de Sekoia.io se sont penchées sur DiceLoader, aussi connu sous le nom d’Icebot. Il fait partie de l’outillage de FIN7, un groupe dont les membres ont été impliqués dans les activités associées aux rançongiciels de Revil, LockBit, DarkSide, ou encore BlackBasta. Début 2024, on comptait encore plusieurs dizaines de serveurs de commande et de contrôle (C2) actifs pour ce loader. 

Les équipes de CrowdStrike se sont quant à elles intéressées aux nouvelles techniques de furtivité mises en œuvre dans un autre loader, HijackLoader. Aussi appelé IDAT Loader, il nécessite le recours à l’analyse comportementale pour être débusqué par l’EDR de l’éditeur.

Enfin, certains maliciels plus polyvalents embarquent des fonctionnalités de loader. Cela vaut ainsi pour Pikabot, associé à la nébuleuse Conti, avec en particulier Black Basta, ou encore DarkGate, particulièrement prisé des cybercriminels depuis l’été 2023.