Дроппер — це не просто шкідлива програма. Це тихий посередник у ланцюжку кібератаки, який проникає в систему першим і непомітно «підкидає» набагато небезпечніший вантаж: ransomware, банківські трояни чи шпигунське ПЗ. Він не шифрує файли сам і не краде дані безпосередньо. Його завдання — обійти захист, встановити основну загрозу та зникнути або закріпитися надовго. Саме тому дропери вважають одним із найефективніших інструментів сучасних кіберзлочинців.
У 2024 році міжнародна операція Endgame Europol завдала удару саме по інфраструктурі дроперів — IcedID, Pikabot, Smokeloader та інших. Було ліквідовано понад 100 серверів і заарештовано підозрюваних у кількох країнах, включно з Україною. Це показало, наскільки критичну роль відіграють дропери в ланцюжках ransomware-атак. Для початківців це звучить як щось далеке, а для професіоналів — як щоденна реальність, з якою стикаються SOC-команди та дослідники загроз.
Сучасні дропери еволюціонували від простих «упакованих» файлів до складних багатостадійних механізмів, що використовують легітимні інструменти Windows (LOLBins), обфускацію та навіть елементи штучного інтелекту для генерації варіантів. Вони працюють на Windows, Android і дедалі частіше намагаються проникнути в корпоративні мережі. Розуміння того, як саме функціонує дроппер, дає змогу не лише захищатися, а й передбачати наступні кроки зловмисників.
Визначення та походження терміна
Термін «dropper» походить від англійського «to drop» — «підкидати» або «випускати». У кібербезпеці це сімейство троянських програм, головна мета яких — несанкціоноване та приховане встановлення іншого шкідливого коду на пристрій жертви. Код може бути вбудований безпосередньо в тіло дропера або завантажений з мережі вже після запуску.
На відміну від звичайного вірусу, дроппер рідко завдає шкоди самостійно. Він діє як «кур’єр»: проникає в систему під виглядом легітимного файлу — PDF-рахунку, оновлення браузера, гри чи утиліти — і після виконання «випускає» справжню загрозу. Українська Вікіпедія та енциклопедії Kaspersky чітко визначають дропер саме так: це інструмент прихованого встановлення інших шкідливих програм.
Історія дроперів тягнеться з початку 2000-х. Уже тоді зловмисники зрозуміли: набагато ефективніше доставити маленьку «коробочку», яка сама розпакує великий набір інструментів, ніж намагатися просунути весь комплекс одразу. З появою масових фішингових кампаній та експлойт-кітів дропери стали невід’ємною частиною ланцюжка атаки.
Як працює дроппер: крок за кроком
Уявімо типовий сценарій. Користувач отримує електронного листа з «неоплаченим рахунком» або посиланням на «оновлення Zoom». Файл виглядає абсолютно нормально. Після відкриття або кліку спрацьовує дроппер.
На першому етапі він перевіряє середовище: чи запущено в віртуальній машині, чи є антивірус, які процеси активні. Якщо перевірка пройдена — розпочинається основна робота. Дроппер витягує вбудований payload (або завантажує його), записує на диск або одразу в пам’ять і запускає. Часто він створює легітимний процес, «підміняє» його код (process hollowing) і зникає, залишаючи після себе лише мінімальні сліди.
Для просунутих читачів важливо розуміти технічні деталі. Сучасні дропери використовують:
- пакування та обфускацію коду (custom packers, VMProtect, Themida);
- анти-аналіз: перевірку на наявність sandbox, debugger, моніторинг API-викликів;
- living-off-the-land техніки — виконання команд через PowerShell, certutil, mshta без створення підозрілих файлів;
- багатостадійність: перший дроппер запускає другий, той — третій, і лише на фінальній стадії з’являється ransomware або stealer.
Така архітектура значно ускладнює виявлення на ранніх етапах. Антивірус може пропустити «чистий» дроппер, бо він не виконує шкідливих дій одразу.
Типи дроперів: порівняння та особливості
Дропери не бувають однаковими. Їх класифікують за способом доставки payload, рівнем закріплення в системі та платформою.
| Тип | Як працює | Приклади та рівень загрози |
|---|---|---|
| File-based (файловий) | Містить payload всередині себе. Після запуску розпаковує та встановлює. | Emotet-дропери в Excel/VBA, Dridex. Високий — класичний вектор для ransomware. |
| Network-based / Downloader | Сам не містить payload, а завантажує його з C2-сервера. | SocGholish, Amadey. Середній-високий, залежить від доступності сервера. |
| Persistent (постійний) | Створює записи в реєстрі, scheduled tasks, копіює себе в приховані папки. Переживає перезавантаження. | Більшість сучасних droppers IcedID, Pikabot. Дуже високий — вимагає глибокого очищення. |
| Non-persistent | Виконує завдання і самознищується. Сліди мінімальні. | Деякі прості droppers у phishing-кампаніях. Низький-середній, але все одно небезпечний. |
| Mobile (Android) | Маскується під корисні apps (калькулятори, reward-програми), використовує accessibility services або sideloading. | SharkBot, Anubis, Pylcasa (2025). Високий для мобільного банкінгу та даних. |
Гібридні варіанти, що поєднують кілька підходів, стають дедалі поширенішими. Вони дають зловмисникам гнучкість і стійкість до блокувань.
Реальні приклади та роль у сучасних атаках
У травні 2024 року Europol провела найбільшу в історії операцію проти екосистеми дроперів — Operation Endgame. Було знешкоджено інфраструктуру IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee та Trickbot. Ці дропери використовувалися як «ворота» для ransomware-атак та крадіжки даних у корпоративних мережах по всьому світу. Арешти відбулися в Україні та Вірменії, ліквідовано понад 100 серверів.
На Android-сцені 2025 року з’явилися нові дропери, замасковані під додатки з винагородами та лояльністю в Індії, а також Pylcasa в Бразилії — прості на вигляд калькулятори, які після запуску відкривали шкідливі посилання або встановлювали банківські трояни. Такі кампанії демонструють, як дропери адаптуються під мобільні пристрої, де захист часто слабший.
У ланцюжку ransomware дроппер майже завжди стоїть на етапі Initial Access. Після нього йде execution, persistence, privilege escalation і lateral movement. Без якісного дропера вся атака може провалитися ще на старті.
Техніки уникнення виявлення
Сучасні дропери — це справжні майстри маскування. Вони:
- шифрують payload і розшифровують лише в пам’яті;
- використовують поліморфізм — кожен екземпляр виглядає по-іншому;
- перевіряють наявність sandbox і відкладають виконання (sleep + check);
- вбудовуються в легітимні процеси або використовують signed binaries з вкраденими сертифікатами;
- комбінують кілька технік одночасно, створюючи «шум» з безпечних файлів.
Саме тому статичний аналіз часто безсилий, а динамічний у sandbox дає лише часткову картину. Дослідникам доводиться комбінувати reverse engineering, behavioral analysis та threat intelligence.
Відмінність від завантажувачів (downloaders) та інших загроз
Хоча терміни часто вживають як синоніми, різниця існує. Чистий дроппер вже містить шкідливий код всередині себе. Downloader після запуску звертається до сервера і завантажує payload. Багато сучасних зразків — гібриди: спочатку діють як дроппер, а за потреби — як downloader.
Важливо не плутати дропер з:
- exploit — він використовує вразливості, а не доставляє код;
- loader — часто є наступним етапом після дропера;
- stealer або ransomware — це вже фінальний payload, який дроппер встановлює.
Як захиститися: практичні рекомендації
Для початківців головне — базова гігієна. Не відкривайте вкладення від невідомих відправників, навіть якщо лист виглядає офіційно. Увімкніть двофакторну автентифікацію скрізь, де можливо. Регулярно оновлюйте операційну систему та програми.
Для просунутих користувачів та компаній набір заходів ширший:
- використовуйте EDR/XDR-рішення з behavioral detection, а не лише сигнатурний антивірус;
- налаштуйте Application Control та allowlisting;
- моніторьте підозрілі процеси PowerShell, mshta, certutil;
- проводьте регулярні Red Team / Purple Team вправи з імітацією dropper-атак;
- для Android — уникайте sideload додатків з неофіційних джерел, перевіряйте дозволи, особливо Accessibility Service.
У нашій практиці аналізу інцидентів найчастіше дропери проникають саме через фішинг та скомпрометовані сайти. Компанії, які впровадили строгий контроль вхідної пошти та поведінковий моніторинг, фіксують на 60–70 % менше успішних проникнень такого типу.
Майбутнє дроперів у 2026 році та тенденції
У 2026 році дропери продовжать еволюціонувати. Очікується зростання використання AI для автоматичної генерації обфускованого коду та адаптації під конкретні цілі. Мобільні дропери стануть ще більш витонченими, а гібридні атаки (Windows + Android + cloud) — звичним явищем.
Зловмисники дедалі частіше переходять на «malware-free» підходи, де дропер лише готує ґрунт, а основна робота виконується через легітимні інструменти. Це ускладнює як виявлення, так і атрибуцію.
Для захисту критично важливо не просто встановлювати «ще один антивірус», а будувати глибоку оборону: від сегментації мережі та zero-trust до постійного навчання співробітників і швидкого реагування на інциденти. Дроппер — це лише перший дзвінок. Те, що станеться далі, залежить від того, наскільки швидко і якісно ви зреагуєте.