Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós de CountLoader

Programari maliciós de CountLoader

El Mezo el Programari maliciós
Traduir a:

Els analistes de ciberseguretat han descobert una nova campanya de distribució de programari maliciós que abusa de llocs web que ofereixen programari pirata per difondre una variant actualitzada d'un carregador modular i encobert conegut com a CountLoader. En aprofitar-se dels usuaris que busquen aplicacions piratejades, els operadors obtenen un punt de suport inicial que permet l'accés furtiu, l'evasió de la defensa i el lliurament esglaonat d'eines malicioses addicionals.

El paper de CountLoader en una intrusió de diverses etapes

En aquesta campanya, CountLoader funciona com el primer component d'una cadena d'atac més àmplia. Investigacions anteriors ja havien demostrat la capacitat del carregador per desplegar una gamma de càrregues útils secundàries, com ara Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer i PureMiner. L'evidència suggereix que CountLoader s'ha utilitzat activament en atacs del món real des d'almenys el juny de 2025, cosa que subratlla la seva maduresa i el seu desenvolupament continu.

De descàrregues falses a execucions silencioses

La seqüència d'infecció comença quan les víctimes intenten descarregar versions piratejades de programari legítim com ara Microsoft Word. En lloc de rebre l'aplicació promesa, són redirigides a un arxiu ZIP allotjat a MediaFire. Aquest arxiu conté dos elements clau: un fitxer ZIP xifrat i un document de Word que proporciona convenientment la contrasenya necessària per obrir-lo.

Dins de l'arxiu protegit hi ha un intèrpret legítim de Python que ha estat rebatejat com a Setup.exe. Aquest executable està configurat per iniciar una ordre maliciosa que aprofita mshta.exe per recuperar CountLoader versió 3.2 des d'un servidor remot, iniciant silenciosament el compromís.

Persistència a través de l’engany i la consciència ambiental

Per garantir l'accés a llarg termini, el programari maliciós estableix la persistència creant una tasca programada dissenyada per semblar legítima. Adopta el nom "GoogleTaskSystem136.0.7023.12" seguit d'una cadena que s'assembla a un identificador únic. Aquesta tasca està configurada per executar-se cada 30 minuts durant una dècada, invocant mshta.exe i confiant en un domini alternatiu si cal.

Abans de finalitzar el seu mecanisme de persistència, CountLoader comprova la presència d'un producte de seguretat específic al sistema consultant l'inventari antivirus a través de Windows Management Instrumentation (WMI). Si es detecta l'eina, el carregador altera subtilment el seu mètode d'execució per utilitzar cmd.exe /c start /b mshta.exe. Si no, contacta directament amb l'URL remota mitjançant mshta.exe, minimitzant la fricció i la sospita.

Capacitats en expansió i funcions modulars

Un cop establert, CountLoader crea un perfil de l'amfitrió infectat i recupera càrregues útils addicionals segons calgui. L'última versió introdueix noves funcionalitats, com ara la capacitat de propagar-se a través d'unitats USB extraïbles i executar codi maliciós directament a la memòria mitjançant mshta.exe o PowerShell. Les seves capacitats compatibles inclouen:

  • Recuperació i execució d'executables des d'URL remotes
  • Descàrrega d'arxius ZIP i execució de mòduls Python incrustats o fitxers EXE
  • Obtenir fitxers DLL i executar-los mitjançant rundll32.exe
  • Descàrrega i instal·lació de paquets MSI
  • Eliminant la seva pròpia tasca programada per reduir les traces forenses
  • Recopilació i exfiltració d'informació detallada del sistema
  • Propagació a través de suports extraïbles mitjançant la creació de fitxers LNK maliciosos juntament amb originals ocults, que executen tant el fitxer legítim com el programari maliciós mitjançant mshta.exe amb paràmetres de comandament i control.
  • Invocació directa de mshta.exe contra URL controlades per atacants
  • Execució de càrregues útils remotes de PowerShell completament a la memòria

La càrrega útil final: el lladre d’ACR

En la cadena d'atac observada, CountLoader va acabar produint ACR Stealer, un programari maliciós que roba informació i que està dissenyat per sustraure dades sensibles de sistemes compromesos. Aquesta etapa final transforma un esquer inicial que implica programari pirata en una operació de robatori de dades a gran escala.

Què indica aquesta campanya per als defensors

Aquesta operació demostra l'evolució contínua i la creixent sofisticació de CountLoader. La combinació d'abús de l'intèrpret de Python, emmascarament de tasques programades, mal ús de binaris signats i execució sense fitxers i en memòria reflecteix un canvi més ampli cap a tècniques d'intrusió més furtives. Per als defensors, la campanya reforça la importància de la supervisió proactiva, els controls de seguretat per capes i la conscienciació dels usuaris, especialment pel que fa als riscos de descarregar programari no autoritzat o piratejat.

Tendència

Estafa de correu electrònic per a la suspensió del...

Phishing, Correu brossa
Els ciberdelinqüents sovint abusen de termes i serveis tècnics de confiança per fer que les seves estafes semblin creïbles. L'estafa de correu electrònic de suspensió de comptes de cPanel és un clar exemple d'aquesta tàctica, que utilitza un llenguatge alarmant per pressionar els destinataris perquè actuïn ràpidament. Aquests correus electrònics són completament fraudulents i no estan associats...

Més vist

Carregant...