CountLoader-malware

Cybersikkerhedsanalytikere har afsløret en ny malware-distributionskampagne, der misbruger websteder, der tilbyder piratkopieret software, til at sprede en opdateret variant af en hemmelig, modulær loader kendt som CountLoader. Ved at udnytte brugere, der søger efter crackede applikationer, får operatørerne et første fodfæste, der muliggør skjult adgang, forsvarsundgåelse og iscenesat levering af yderligere ondsindede værktøjer.

CountLoaders rolle i en flertrinsindtrængen

I denne kampagne fungerer CountLoader som den første komponent i en bredere angrebskæde. Tidligere undersøgelser havde allerede vist loaderens evne til at implementere en række sekundære nyttelaster, herunder Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer og PureMiner. Beviser tyder på, at CountLoader aktivt har været brugt i angreb i den virkelige verden siden mindst juni 2025, hvilket understreger dens modenhed og fortsatte udvikling.

Fra falske downloads til lydløs udførelse

Infektionssekvensen starter, når ofrene forsøger at downloade krakkede versioner af legitim software såsom Microsoft Word. I stedet for at modtage den lovede applikation, bliver de omdirigeret til et MediaFire-hostet ZIP-arkiv. Dette arkiv indeholder to nøgleelementer: en krypteret ZIP-fil og et Word-dokument, der bekvemt indeholder den adgangskode, der er nødvendig for at åbne det.

Inde i det beskyttede arkiv findes en legitim Python-fortolker, der er blevet omdøbt til Setup.exe. Denne eksekverbare fil er konfigureret til at køre en ondsindet kommando, der bruger mshta.exe til at hente CountLoader version 3.2 fra en fjernserver, hvilket i det stille starter kompromitteringen.

Vedholdenhed gennem bedrag og miljøbevidsthed

For at sikre langsigtet adgang etablerer malwaren persistens ved at oprette en planlagt opgave, der er designet til at se legitim ud. Den bruger navnet 'GoogleTaskSystem136.0.7023.12' efterfulgt af en streng, der ligner et unikt id. Denne opgave er konfigureret til at udføres hvert 30. minut i et årti, kalder mshta.exe og bruger et reservedomæne, hvis det er nødvendigt.

Før CountLoader færdiggør sin persistensmekanisme, kontrollerer den systemet for tilstedeværelsen af et specifikt sikkerhedsprodukt ved at forespørge antivirusbeholdningen via Windows Management Instrumentation (WMI). Hvis værktøjet registreres, ændrer indlæseren diskret sin udførelsesmetode til at bruge cmd.exe /c start /b mshta.exe. Hvis ikke, kontakter den direkte den eksterne URL ved hjælp af mshta.exe, hvilket minimerer friktion og mistanke.

Udvidelse af muligheder og modulære funktioner

Når den er etableret, profilerer CountLoader den inficerede vært og henter yderligere nyttelast efter behov. Den seneste iteration introducerer ny funktionalitet, herunder muligheden for at sprede sig via flytbare USB-drev og udføre skadelig kode direkte i hukommelsen ved hjælp af mshta.exe eller PowerShell. Dens understøttede funktioner omfatter:

• Hentning og kørsel af eksekverbare filer fra eksterne URL'er
• Download af ZIP-arkiver og udførelse af integrerede Python-moduler eller EXE-filer
• Hentning af DLL-filer og start af dem via rundll32.exe
• Download og installation af MSI-pakker
• Fjerner sin egen planlagte opgave for at reducere retsmedicinske spor
• Indsamling og udvinding af detaljerede systemoplysninger
• Spredning via flytbare medier ved at oprette ondsindede LNK-filer sammen med skjulte originaler, som udfører både den legitime fil og malwaren via mshta.exe med kommando-og-kontrol-parametre
• Direkte kald af mshta.exe mod angriberkontrollerede URL'er
• Udførelse af eksterne PowerShell-nyttelaster udelukkende i hukommelsen

Den endelige nyttelast: ACR Stealer

I den observerede angrebskæde leverede CountLoader i sidste ende ACR Stealer, en informationsstjælende malware designet til at suge følsomme data ud af kompromitterede systemer. Denne sidste fase forvandler en indledende lokkeoperation, der involverer piratkopieret software, til en fuldskala datatyverioperation.

Hvad denne kampagne signalerer til forsvarere

Denne operation demonstrerer CountLoaders fortsatte udvikling og voksende sofistikering. Kombinationen af misbrug af Python-fortolkere, planlagt opgavemaskering, misbrug af signerede binære koder og filløs udførelse i hukommelsen afspejler et bredere skift mod mere diskrete indtrængningsteknikker. For forsvarere forstærker kampagnen vigtigheden af proaktiv overvågning, lagdelte sikkerhedskontroller og brugerbevidsthed, især omkring risikoen ved at downloade uautoriseret eller cracket software.