Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер CountLoader

Зловреден софтуер CountLoader

До Mezo през Зловреден софтуерг
Превод на:

Анализатори по киберсигурност разкриха нова кампания за разпространение на зловреден софтуер, която злоупотребява с уебсайтове, предлагащи пиратски софтуер, за разпространение на актуализиран вариант на скрит, модулен зареждащ софтуер, известен като CountLoader. Като се възползват от потребители, търсещи кракнати приложения, операторите получават първоначална позиция, която им позволява скрит достъп, заобикаляне на защитата и поетапно доставяне на допълнителни злонамерени инструменти.

Ролята на CountLoader при многоетапно проникване

В тази кампания CountLoader функционира като първи компонент в по-широка верига за атаки. По-ранни разследвания вече бяха показали способността на зареждащата програма да разгръща редица вторични полезни товари, включително Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer и PureMiner. Данните сочат, че CountLoader се използва активно в реални атаки поне от юни 2025 г., което подчертава неговата зрялост и непрекъснато развитие.

От фалшиви изтегляния до тихо изпълнение

Последователността на заразяване започва, когато жертвите се опитват да изтеглят кракнати версии на легитимен софтуер, като например Microsoft Word. Вместо да получат обещаното приложение, те биват пренасочени към ZIP архив, хостван от MediaFire. Този архив съдържа два ключови елемента: криптиран ZIP файл и Word документ, който удобно предоставя паролата, необходима за отварянето му.

В защитения архив се намира легитимен интерпретатор на Python, преименуван на Setup.exe. Този изпълним файл е конфигуриран да стартира злонамерена команда, която използва mshta.exe, за да извлече CountLoader версия 3.2 от отдалечен сървър, като по този начин тихо инициира компрометирането.

Упоритост чрез измама и осъзнаване на околната среда

За да осигури дългосрочен достъп, зловредният софтуер установява постоянство, като създава планирана задача, проектирана да изглежда легитимна. Тя приема името „GoogleTaskSystem136.0.7023.12“, последвано от низ, наподобяващ уникален идентификатор. Тази задача е конфигурирана да се изпълнява на всеки 30 минути в продължение на десетилетие, като извиква mshta.exe и разчита на резервен домейн, ако е необходимо.

Преди да финализира механизма си за постоянство, CountLoader проверява системата за наличие на специфичен продукт за сигурност, като отправя заявка до антивирусната инвентаризация чрез Windows Management Instrumentation (WMI). Ако инструментът бъде открит, зареждащият инструмент фино променя метода си на изпълнение, за да използва cmd.exe /c start /b mshta.exe. Ако не, той директно се свързва с отдалечения URL адрес, използвайки mshta.exe, минимизирайки триенето и подозренията.

Разширяване на възможностите и модулните функции

След като бъде установен, CountLoader профилира заразения хост и извлича допълнителни полезни товари, ако е необходимо. Най-новата версия въвежда нова функционалност, включително възможността за разпространение чрез сменяеми USB устройства и за изпълнение на зловреден код директно в паметта, използвайки mshta.exe или PowerShell. Поддържаните от него възможности включват:

  • Извличане и стартиране на изпълними файлове от отдалечени URL адреси
  • Изтегляне на ZIP архиви и изпълнение на вградени Python модули или EXE файлове
  • Извличане на DLL файлове и стартирането им чрез rundll32.exe
  • Изтегляне и инсталиране на MSI пакети
  • Премахване на собствена планирана задача за намаляване на криминалистичните следи
  • Събиране и извличане на подробна системна информация
  • Разпространение чрез сменяеми носители чрез създаване на злонамерени LNK файлове заедно със скрити оригинали, които изпълняват както легитимния файл, така и зловредния софтуер чрез mshta.exe с параметри Command-and-Control.
  • Директно извикване на mshta.exe срещу URL адреси, контролирани от атакуващия
  • Изпълнение на отдалечени полезни товари на PowerShell изцяло в паметта

Крайният полезен товар: ACR Stealer

В наблюдаваната верига от атаки, CountLoader в крайна сметка достави ACR Stealer, зловреден софтуер за кражба на информация, предназначен да извлича чувствителни данни от компрометирани системи. Този последен етап трансформира първоначалната примамка, включваща пиратски софтуер, в пълномащабна операция за кражба на данни.

Какво сигнализира тази кампания за защитниците

Тази операция демонстрира непрекъснатата еволюция и нарастващата сложност на CountLoader. Комбинацията от злоупотреба с интерпретатора на Python, маскиране на планирани задачи, злоупотреба с подписан двоичен файл и изпълнение без файлове в паметта отразява по-широка промяна към по-скрити техники за проникване. За защитниците кампанията засилва значението на проактивното наблюдение, многопластовите контроли за сигурност и осведомеността на потребителите, особено относно рисковете от изтегляне на неоторизиран или кракнат софтуер.

Тенденция

Измама с имейл за спиране на акаунт в cPanel

Фишинг, Спам
Киберпрестъпниците често злоупотребяват с надеждни технически термини и услуги, за да направят измамите си да изглеждат правдоподобни. Измамата с имейл за спиране на акаунт в cPanel е ясен пример за тази тактика, използваща тревожен език, за да окаже натиск върху получателите да действат бързо. Тези имейли са изцяло измамни и не са свързани с никакви легитимни компании, организации или...

Webmotion.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Да бъдете бдителни, докато разглеждате мрежата, е от съществено значение, тъй като измамните сайтове и агресивните рекламни схеми продължават да се развиват. Злонамерените лица рутинно създават...

Зловреден софтуер EtherRAT

Инструменти за отдалечено администриране, Усъвършенствана постоянна заплаха (APT)
Смята се, че наскоро разкрита кампания от заплахи, свързана със севернокорейски оператори, използва критичната уязвимост React2Shell (RSC), за да внедри невиждан досега троянски кон за отдалечен...

Най-гледан

Зареждане...