برنامج CountLoader الخبيث
كشف محللو الأمن السيبراني عن حملة جديدة لتوزيع برمجيات خبيثة تستغل مواقع الويب التي تقدم برامج مقرصنة لنشر نسخة محدثة من برنامج تحميل خفي ووحداتي يُعرف باسم CountLoader. ومن خلال استغلال المستخدمين الباحثين عن تطبيقات مقرصنة، يحصل القائمون على هذه الحملة على موطئ قدم أولي يُمكّنهم من الوصول الخفي، وتجاوز أنظمة الحماية، والتوزيع التدريجي لأدوات خبيثة إضافية.
جدول المحتويات
دور برنامج CountLoader في عملية اختراق متعددة المراحل
في هذه الحملة، يعمل برنامج CountLoader كعنصر أول في سلسلة هجوم أوسع. وقد أظهرت تحقيقات سابقة قدرة هذا البرنامج على نشر مجموعة من البرامج الضارة الثانوية، بما في ذلك Cobalt Strike وAdaptixC2 وPureHVNC RAT وAmatera Stealer وPureMiner. وتشير الأدلة إلى أن CountLoader يُستخدم بنشاط في هجمات حقيقية منذ يونيو 2025 على الأقل، مما يؤكد نضجه واستمرار تطويره.
من التنزيلات الوهمية إلى التنفيذ الصامت
تبدأ عملية الإصابة عندما يحاول الضحايا تنزيل نسخ مقرصنة من برامج أصلية مثل مايكروسوفت وورد. فبدلاً من الحصول على التطبيق المطلوب، يتم توجيههم إلى ملف مضغوط (ZIP) مُستضاف على موقع ميديا فاير. يحتوي هذا الملف على عنصرين أساسيين: ملف ZIP مُشفّر، ومستند وورد يُقدّم كلمة المرور اللازمة لفتحه.
يحتوي الأرشيف المحمي على مترجم بايثون شرعي تمت إعادة تسميته إلى Setup.exe. تم إعداد هذا الملف التنفيذي لتشغيل أمر خبيث يستغل mshta.exe لاسترداد برنامج CountLoader الإصدار 3.2 من خادم بعيد، مما يؤدي إلى بدء عملية الاختراق بهدوء.
المثابرة من خلال الخداع والوعي البيئي
لضمان استمرارية الوصول، يُنشئ البرنامج الخبيث مهمة مجدولة تبدو شرعية، مستخدمًا الاسم 'GoogleTaskSystem136.0.7023.12' متبوعًا بسلسلة نصية تُشبه مُعرّفًا فريدًا. تُضبط هذه المهمة للتنفيذ كل 30 دقيقة لمدة عشر سنوات، مُشغّلةً ملف mshta.exe، ومعتمدةً على نطاق احتياطي عند الحاجة.
قبل إتمام آلية استمرار عمله، يتحقق برنامج CountLoader من وجود منتج أمان محدد في النظام عن طريق الاستعلام عن قائمة برامج مكافحة الفيروسات عبر أداة إدارة Windows (WMI). إذا تم اكتشاف الأداة، يقوم البرنامج بتعديل طريقة تنفيذه بشكل غير مباشر لاستخدام الأمر cmd.exe /c start /b mshta.exe. أما إذا لم يتم اكتشافها، فإنه يتصل مباشرةً بعنوان URL البعيد باستخدام mshta.exe، مما يقلل من التعقيدات والشكوك.
توسيع القدرات والميزات المعيارية
بمجرد تثبيته، يقوم برنامج CountLoader بتحليل الجهاز المصاب واستخراج حمولات إضافية حسب الحاجة. يقدم الإصدار الأخير وظائف جديدة، بما في ذلك القدرة على الانتشار عبر محركات أقراص USB القابلة للإزالة وتنفيذ التعليمات البرمجية الخبيثة مباشرةً في الذاكرة باستخدام mshta.exe أو PowerShell. تشمل إمكانياته المدعومة ما يلي:
- استرجاع وتشغيل الملفات التنفيذية من عناوين URL البعيدة
- تنزيل ملفات ZIP وتشغيل وحدات بايثون المضمنة أو ملفات EXE
- جلب ملفات DLL وتشغيلها عبر rundll32.exe
- تنزيل وتثبيت حزم MSI
- إزالة مهمتها المجدولة لتقليل الآثار الجنائية
- جمع واستخراج معلومات النظام التفصيلية
- ينتشر هذا البرنامج الخبيث عبر وسائط التخزين القابلة للإزالة عن طريق إنشاء ملفات LNK خبيثة بجانب الملفات الأصلية المخفية، والتي تقوم بتشغيل كل من الملف الشرعي والبرنامج الخبيث عبر mshta.exe باستخدام معلمات الأوامر والتحكم.
- استدعاء mshta.exe مباشرةً ضد عناوين URL التي يتحكم بها المهاجم
- تنفيذ حمولات PowerShell عن بُعد بالكامل في الذاكرة
الحمولة النهائية: سارق ACR
في سلسلة الهجمات التي رُصدت، قام برنامج CountLoader في نهاية المطاف بتوزيع برنامج ACR Stealer، وهو برنامج خبيث لسرقة المعلومات مصمم لسحب البيانات الحساسة من الأنظمة المخترقة. هذه المرحلة الأخيرة تحوّل عملية الإغراء الأولية التي تتضمن برامج مقرصنة إلى عملية سرقة بيانات واسعة النطاق.
ما الذي تشير إليه هذه الحملة للمدافعين؟
تُظهر هذه العملية التطور المستمر لبرنامج CountLoader وازدياد تعقيده. ويعكس الجمع بين إساءة استخدام مُفسِّر بايثون، وإخفاء المهام المُجدولة، وإساءة استخدام الملفات الثنائية المُوقَّعة، والتنفيذ في الذاكرة دون ملفات، تحولًا أوسع نحو أساليب اختراق أكثر خفاءً. بالنسبة للمدافعين، تُعزز هذه الحملة أهمية المراقبة الاستباقية، وضوابط الأمان متعددة الطبقات، وتوعية المستخدمين، لا سيما فيما يتعلق بمخاطر تنزيل البرامج غير المصرح بها أو المقرصنة.
