Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware CountLoader

Malware CountLoader

V roce Mezo v roce Malware
Přeložit do:

Analytici kybernetické bezpečnosti odhalili novou kampaň zaměřenou na distribuci malwaru, která zneužívá webové stránky nabízející pirátský software k šíření aktualizované varianty skrytého modulárního zavaděče známého jako CountLoader. Tím, že zneužívají uživatele hledající cracknuté aplikace, získávají operátoři počáteční oporu, která jim umožňuje nenápadný přístup, obcházení obrany a postupné dodávání dalších škodlivých nástrojů.

Role CountLoaderu ve vícestupňovém narušení

V této kampani funguje CountLoader jako první komponenta v širším útočném řetězci. Dřívější vyšetřování již prokázala schopnost zavaděče nasadit řadu sekundárních nákladů, včetně Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer a PureMiner. Důkazy naznačují, že CountLoader se aktivně používá v reálných útocích nejméně od června 2025, což podtrhuje jeho vyspělost a neustálý vývoj.

Od falešného stahování k tichému spuštění

Infekční sekvence začíná, když se oběti pokusí stáhnout si cracknuté verze legitimního softwaru, jako je Microsoft Word. Místo slíbené aplikace jsou přesměrovány do ZIP archivu hostovaného na MediaFire. Tento archiv obsahuje dvě klíčové položky: zašifrovaný ZIP soubor a dokument Wordu, který pohodlně poskytuje heslo potřebné k jeho otevření.

Uvnitř chráněného archivu se nachází legitimní interpret Pythonu, který byl přejmenován na Setup.exe. Tento spustitelný soubor je nakonfigurován tak, aby spustil škodlivý příkaz, který využívá mshta.exe k načtení CountLoader verze 3.2 ze vzdáleného serveru a nenápadně tak iniciuje kompromitaci.

Vytrvalost skrze klam a uvědomění si prostředí

Aby si malware zajistil dlouhodobý přístup, zajistí trvalost vytvořením naplánované úlohy, která vypadá legitimně. Úloha přijme název „GoogleTaskSystem136.0.7023.12“, za nímž následuje řetězec připomínající jedinečný identifikátor. Tato úloha je nakonfigurována tak, aby se po dobu deseti let spouštěla každých 30 minut, spouštěla soubor mshta.exe a v případě potřeby se spoléhala na záložní doménu.

Před finalizací mechanismu perzistence CountLoader zkontroluje systém na přítomnost konkrétního bezpečnostního produktu dotazováním antivirového inventáře prostřednictvím služby Windows Management Instrumentation (WMI). Pokud je nástroj detekován, zavaděč nenápadně změní svou metodu spuštění tak, aby používal cmd.exe /c start /b mshta.exe. Pokud ne, přímo kontaktuje vzdálenou URL adresu pomocí mshta.exe, čímž minimalizuje tření a podezření.

Rozšiřování možností a modulárních prvků

Jakmile je CountLoader nainstalován, profiluje infikovaného hostitele a podle potřeby načítá další datové části. Nejnovější verze přináší nové funkce, včetně možnosti šíření prostřednictvím vyměnitelných USB disků a spouštění škodlivého kódu přímo v paměti pomocí mshta.exe nebo PowerShellu. Mezi jeho podporované funkce patří:

  • Načítání a spouštění spustitelných souborů ze vzdálených URL adres
  • Stahování ZIP archivů a spouštění vložených modulů Pythonu nebo EXE souborů
  • Načítání DLL souborů a jejich spuštění pomocí rundll32.exe
  • Stahování a instalace MSI balíčků
  • Odstranění vlastní naplánované úlohy za účelem snížení forenzních stop
  • Shromažďování a exfiltrace podrobných systémových informací
  • Šíření prostřednictvím vyměnitelných médií vytvářením škodlivých souborů LNK vedle skrytých originálů, které spouštějí legitimní soubor i malware prostřednictvím souboru mshta.exe s parametry Command-and-Control.
  • Přímé vyvolání souboru mshta.exe proti URL adresám ovládaným útočníkem
  • Spouštění vzdálených datových částí PowerShellu výhradně v paměti

Finální užitečný náklad: Zloděj ACR

V pozorovaném řetězci útoků CountLoader nakonec doručil ACR Stealer, malware kradející informace, který je navržen tak, aby odčerpával citlivá data z napadených systémů. Tato poslední fáze transformuje počáteční návnadu zahrnující pirátský software v plnohodnotnou operaci krádeže dat.

Co tato kampaň signalizuje obráncům

Tato operace demonstruje neustálý vývoj a rostoucí sofistikovanost CountLoaderu. Kombinace zneužívání interpretu Pythonu, maskování plánovaných úloh, zneužívání podepsaných binárních souborů a provádění in-memory bez souborů odráží širší posun směrem k nenápadnějším technikám narušení bezpečnosti. Pro obránce kampaň posiluje důležitost proaktivního monitorování, vícevrstvých bezpečnostních kontrol a povědomí uživatelů, zejména o rizicích stahování neoprávněného nebo cracknutého softwaru.

Trendy

Podvod s pozastavením účtu cPanel e-mailem

Phishing, Spam
Kyberzločinci často zneužívají důvěryhodné technické termíny a služby, aby jejich podvody vypadaly věrohodně. Jasným příkladem této taktiky je podvodný e-mail s pozastavením účtu cPanel, který používá alarmující jazyk k vyvíjení tlaku na příjemce, aby rychle jednali. Tyto e-maily jsou zcela podvodné a nejsou spojeny s žádnými legitimními společnostmi, organizacemi ani poskytovateli služeb,...

Nejvíce shlédnuto

Načítání...