Uma nova ameaça de malware como serviço (MaaS) chamada “Olymp Loader” apareceu em junho de 2025, anunciada agressivamente em fóruns de hackers clandestinos como XSS e HackForums.
Anunciado por um operador conhecido como “OLYMPO”, esse malware é comercializado como uma ferramenta sofisticada escrita inteiramente em linguagem Assembly.
Esta estratégia de marketing visa atrair cibercriminosos alegando alto desempenho e resistência à engenharia reversa.
A ferramenta funciona como um conjunto versátil, atuando como carregador, criptografador e ladrão, o que reduz significativamente a barreira de entrada para invasores que buscam implantar técnicas de evasão e rotinas de infecção complexas.
O malware rapidamente ganhou reputação por seu status “Totalmente Indetectável” (FUD), apresentando taxas de detecção extremamente baixas no VirusTotal.
Ele se espalha por meio de campanhas de engenharia social, muitas vezes disfarçadas como downloads de software legítimos, como PuTTY, Zoom ou executáveis Node.js hospedados no GitHub.
Esses vetores enganosos induzem os usuários a executar o código malicioso, iniciando a cadeia de infecção na máquina da vítima.
O uso de plataformas confiáveis como o GitHub para hospedar ativos maliciosos complica ainda mais a detecção, já que o tráfego de rede para esses sites muitas vezes parece legítimo para os dispositivos de segurança.
Os analistas de segurança da Picus Security identificaram que o Olymp Loader frequentemente entrega cargas perigosas como LummaC2 e Raccoon Stealer.
Eles observaram a rápida evolução do malware, especificamente seu pivô estratégico no início de agosto, de uma arquitetura de botnet para um modelo simplificado de conta-gotas.
Esta mudança demonstra a capacidade do desenvolvedor de se adaptar rapidamente aos desafios técnicos e às demandas do mercado da comunidade cibercriminosa.
Anti-análise e Evasão de Detecção
Após uma grande reestruturação em 3 de agosto de 2025, o Olymp Loader introduziu mecanismos avançados de anti-análise para garantir uma infecção bem-sucedida.
O malware agora incorpora cargas criptografadas diretamente no stub, executando-as somente após neutralizar as defesas locais.
Um componente principal desta estratégia de evasão é a desativação forçada do Windows Defender. O carregador executa comandos específicos do PowerShell para ocultar o monitoramento em tempo real e excluir caminhos da verificação.
Por exemplo, ele utiliza o seguinte comando do PowerShell para conseguir isso: –
powershell -NoProfile -Command “Set-MpPreference -DisableRealtimeMonitoring $true”
Posteriormente, o malware coloca executáveis no diretório Temp e aproveita a ferramenta “Defender Remover”.
Este processo envolve o uso de PowerRun.exe para aplicar modificações no registro por meio de arquivos como RemoveDefender.reg e excluir arquivos críticos do sistema, como SecurityHealthSystray.exe.
Ele também tem como alvo a pasta WinSxS para excluir mapas de arquivos associados ao Defender. Essa anulação agressiva da defesa garante que as cargas sejam executadas sem impedimentos pelas soluções de proteção de endpoint instaladas no host.
As táticas continuaram a mudar dias depois; analistas observaram amostras de 10 de agosto substituindo comandos de desativação explícitos por extensas listas de exclusão de diretórios, cobrindo locais como %APPDATA% e %DESKTOP%.
Esta evolução constante destaca a capacidade do Olymp Loader de contornar os controles de segurança padrão de forma eficaz e furtiva.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
