Novo ‘Olymp Loader’ de malware como serviço surge em fóruns de hackers com recursos avançados de anti-análise – Against Invaders

Novo 'Olymp Loader' de malware como serviço surge em fóruns de hackers com recursos avançados de anti-análise - Against Invaders

O Olymp Loader emergiu como uma plataforma sofisticada de Malware como Serviço (MaaS) desde sua estreia pública em junho de 2025, estabelecendo-se rapidamente como uma ameaça notável em fóruns clandestinos de crimes cibernéticos e canais de Telegram.

Comercializado sob o pseudônimo “OLYMPO”, esse malware representa uma convergência preocupante de recursos avançados de evasão, funcionalidade multifuncional e táticas de distribuição agressivas que reduzem significativamente as barreiras de entrada para operadores criminosos.

O agente de ameaças por trás do Olymp Loader comercializa agressivamente o malware como “Totalmente Indetectável” (FUD), alegando que uma taxa de detecção de 1/72 no VirusTotal é um ponto de venda importante em comunidades clandestinas onde a evasão é fundamental.

O desenvolvedor enfatiza que toda a base de código é escrita em linguagem assembly, uma afirmação de marketing projetada para atrair criminosos tecnicamente sofisticados que reconhecem a montagem como inerentemente difícil para os produtos de segurança detectarem e para os analistas fazerem engenharia reversa.

Esse posicionamento, combinado com mais de 10 anos de experiência em programação de montagem, já gerou inúmeras críticas positivas por parte dos cibercriminosos.

O Olymp Loader funciona como uma ameaça multifuncional, capaz de servir como carregador de carga útil, criptografador e ladrão de dados simultaneamente.

Seus módulos roubadores integrados têm como alvo navegadores, Aplicativos de telegramae ativos importantes de carteiras de criptomoedas atraentes para criminosos cibernéticos que buscam oportunidades de monetização.

Esse conjunto abrangente de recursos, empacotado como uma plataforma MaaS acessível, democratiza capacidades de ataque sofisticadas para agentes de ameaças de nível baixo e médio que não possuem conhecimento técnico para desenvolver tais ferramentas de forma independente.

Distribuição em vários estágios e evolução rápida

O ator da ameaça empregou marketing multiplataforma agressivo em vários fóruns clandestinos, incluindo HackForums, XSS, Lolz Guru e comunidades especializadas em cardforum.

Uma estratégia de “marketing de conteúdo” excepcionalmente sofisticada foi implantada no fórum XSS de alto nível, onde foram publicados artigos técnicos detalhando o funcionamento interno do carregador, em vez de tópicos de vendas diretas, uma estratégia projetada para construir a credibilidade do desenvolvedor e atrair recrutas tecnicamente qualificados.

Desde sua estreia em junho de 2025, o Olymp Loader passou por uma evolução arquitetônica significativa.

Uma reestruturação em 3 de agosto marcou uma mudança fundamental da funcionalidade do botnet para um modelo dropper dedicado, removendo dependências do painel da web e integrando cargas criptografadas diretamente no stub executável.

Esta evolução reflete as lições aprendidas com os desafios operacionais e o feedback do mercado, demonstrando um desenvolvimento ativo e uma adaptação em resposta às exigências dos utilizadores.

Cedo Carregador Olymp amostras estabeleceram persistência por meio de comandos de tempo limite cmd.exe, realocação de diretório AppData e manipulação de pasta de inicialização baseada em PowerShell.

As variantes de agosto de 2025 aumentaram drasticamente as táticas de evasão, incorporando mecanismos de desativação do Windows Defender em vários estágios que executam comandos consecutivos do PowerShell para desligar o monitoramento em tempo real, a verificação de arquivos de rede e a proteção de virtualização de E/S.

As iterações subsequentes incorporaram componentes do conjunto de ferramentas do Defender Remover, comandos de exclusão de registro e extensas listas de exclusão de diretório que abrangem as pastas AppData, LocalAppData, Desktop e Documentos.

Preferências de entrega de carga útil

A análise pós-infecção revela que os clientes da Olymp implantam predominantemente infostealers de credenciais e ferramentas de acesso remoto, com LummaC2 representando 46% das cargas observadas, seguido por WebRAT/SalatStealer (31%), QasarRAT (15%) e Raccoon (8%).

Os módulos ladrões do carregador empregam técnicas sofisticadas de exfiltração de dados, com URLs de proxy incorporados codificados em arquivos binários e acessados ​​por meio de marcadores PROXY.

O roubo de dados do Telegram envolve consultas de registro, encerramento de processos e captura de tela antes da exfiltração.

O roubo de navegador aproveita código-fonte aberto modificado de repositórios públicos como o BrowserSnatch, com listas de alvos duplicadas em comparação com implementações básicas.

O Olymp Loader aproveita a engenharia social por meio de hospedagem enganosa de ativos GitHub e iscas baseadas em URL que imitam distribuições legítimas de software (PuTTY, OpenSSL, Zoom, Counter-Strike).

Essa abordagem explora desenvolvedores e usuários que buscam ferramentas comumente usadas, aumentando significativamente a probabilidade de infecção entre os grupos demográficos-alvo.

O rápido amadurecimento do Olymp Loader, combinado com sua comprovada sofisticação técnica e marketing agressivo de MaaS, o estabelece como uma ameaça significativa para as organizações.

A sua acessibilidade a cibercriminosos menos qualificados e a evolução operacional contínua apresentam riscos sustentados que exigem monitorização proativa de ameaças e validação da segurança dos terminais.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.