Un downloader es un tipo de troyano cuya única funcionalidad es descargar una o más amenazas informáticas, quienes serán las que se encargarán de realizar las acciones maliciosas que el cibercriminal busca. Si bien un downloader no contiene una carga maliciosa en sí mismo, lo que lo ayuda a evadir las detecciones, este malware es considerado tanto un método de propagación como una amenaza por el rol que ocupa en el proceso de infección, similar a lo que ocurre con los troyanos tipo dropper.

Históricamente las amenazas informáticas se han visto obligadas a evolucionar permanentemente, y un ejemplo de esta constante evolución que buscan los desarrolladores de malware se ve reflejada en el comportamiento de algunos códigos maliciosos. Por ejemplo, aquellos que detectan que han sido ejecutados, pero no en la máquina de una víctima, sino en una máquina virtual, lo cual quiere decir que el malware está siendo analizado, ya sea por un sitio de análisis de malware o un analista. Y así como encontramos nuevos comportamientos y modificaciones, con este mismo objetivo surgieron amenazas novedosas como los downloader.

¿Cómo funciona un downloader?

Los troyanos downloaders suelen tener como objetivo llegar a los equipos de usuarios finales, siendo comúnmente alojados como programas que se hacen pasar como legítimos en sitios no oficiales o de terceros, como los famosos cracks o descargas gratuitas de programas de pago.

Para poder llevar a cabo su acción, los downloaders requieren de interacción por parte del usuario. En otras palabras, necesitan que el archivo sea ejecutado por la víctima una vez descargado. Luego de esto, el malware suele o bien ejecutar la descarga legítima del software por el que se hacía pasar —aunque también puede que no realice ninguna acción visible para el usuario—, y en segundo plano comenzar con la descarga de archivos adicionales. Esta descarga se puede realizar desde cualquier sitio de Internet que aloje la amenaza con la que finalmente se infectará el equipo de la víctima, aunque también puede ser enviada desde un servidor de comando y control propiedad del atacante.

Una vez descargada la amenaza final en el equipo, el downloader modifica los registros del sistema comprometido para que el malware se ejecute cada vez que el sistema inicia. Esta acción en el registro que realiza el downloader es clave para el funcionamiento de la amenaza, ya que reduce las posibilidades de una posible detección por parte de algunos productos antimalware gratuitos. De esta manera, el downloader no levanta sospechas ejecutando un archivo recientemente descargado porque como dijimos antes, no contiene una carga maliciosa en sí mismo. Su rol consiste en descargar un archivo y modificar registros del sistema para que la amenaza final haga luego su trabajo al iniciar el equipo. Este comportamiento es similar al que realizan aplicaciones cuando se actualizan automáticamente.

Finalmente, cabe aclarar que un downloader no es un “dropper”. El término dropper suele confundirse con el de downloader por que ambos tienen el mismo objetivo final: Instalar una amenaza en el dispositivo de la víctima. Ambos son un tipo de troyano, pero el dropper no descarga la amenaza del Internet, sino que la contiene embebida dentro de sí mismo.

Ejemplos de downloaders recientes

Generalmente, los downloaders no suelen pertenecer a ninguna campaña o familia en particular, sino que se trata de código genérico con la única funcionalidad de descargar la amenaza principal. Sin embargo, existen algunas familias de este tipo de malware que sido prominentes en los últimos años.

Un ejemplo de esto es Emotet, una amenaza que comenzó como troyano bancario teniendo sus primeras apariciones en 2014. No mucho tiempo más tarde, se convirtió en una botnet con una propagación de mucha rapidez, infectando equipos mediante adjuntos maliciosos en correos electrónicos, para luego descargar otras amenazas como Trickbot.

A su vez Trickbot también cuenta con módulos con características de downloader, aunque acompañado de otras funcionalidades que también lo categorizan como troyano bancario. Una de las amenazas que hemos visto descargar Trickbot en su función como downlodaer es el ransomware Ryuk.

Tanto TrickBot como Emotet sufrieron grandes golpes a su infraestructura: En octubre del 2020, el primero sufrió la caída de más del 90% de su infraestructura como consecuencia de una alianza de distintas compañías de tecnología y ciberseguridad. Más tarde, a principios de 2021, la botnet creada por la segunda amenaza fue desbaratada gracias a una gran investigación entre compañías y la INTERPOL.

Otra campaña que hemos analizado recientemente utilizando un troyano downloader es la de la falsa billetera de criptomonedas Safemoon que, utilizando un sitio falso y un mensaje de Discord como método de propagación, descarga un downloader que se encarga de instalar una herramienta de acceso remoto (RAT) que cuenta con funcionalidades para espiar en el equipo infectado, como es un keylogger.