Κακόβουλο λογισμικό CountLoader
Αναλυτές κυβερνοασφάλειας αποκάλυψαν μια νέα εκστρατεία διανομής κακόβουλου λογισμικού που καταχράται ιστότοπους που προσφέρουν πειρατικό λογισμικό για να διαδώσει μια ενημερωμένη παραλλαγή ενός μυστικού, αρθρωτού φορτωτή γνωστού ως CountLoader. Εκμεταλλευόμενοι χρήστες που αναζητούν παραβιασμένες εφαρμογές, οι χειριστές αποκτούν μια αρχική βάση που επιτρέπει την κρυφή πρόσβαση, την αποφυγή άμυνας και τη σταδιακή παράδοση πρόσθετων κακόβουλων εργαλείων.
Πίνακας περιεχομένων
Ο ρόλος του CountLoader σε μια εισβολή πολλαπλών σταδίων
Σε αυτήν την καμπάνια, το CountLoader λειτουργεί ως το πρώτο στοιχείο σε μια ευρύτερη αλυσίδα επιθέσεων. Προηγούμενες έρευνες είχαν ήδη δείξει την ικανότητα του φορτωτή να αναπτύσσει μια σειρά από δευτερεύοντα ωφέλιμα φορτία, συμπεριλαμβανομένων των Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer και PureMiner. Τα στοιχεία δείχνουν ότι το CountLoader χρησιμοποιείται ενεργά σε επιθέσεις σε πραγματικό κόσμο τουλάχιστον από τον Ιούνιο του 2025, υπογραμμίζοντας την ωριμότητα και τη συνεχή ανάπτυξή του.
Από ψεύτικες λήψεις έως σιωπηλή εκτέλεση
Η ακολουθία της μόλυνσης ξεκινά όταν τα θύματα επιχειρούν να κατεβάσουν παραβιασμένες εκδόσεις νόμιμου λογισμικού, όπως το Microsoft Word. Αντί να λάβουν την υποσχεμένη εφαρμογή, ανακατευθύνονται σε ένα αρχείο ZIP που φιλοξενείται από το MediaFire. Αυτό το αρχείο περιέχει δύο βασικά στοιχεία: ένα κρυπτογραφημένο αρχείο ZIP και ένα έγγραφο του Word που παρέχει εύκολα τον κωδικό πρόσβασης που απαιτείται για το άνοιγμά του.
Μέσα στο προστατευμένο αρχείο υπάρχει ένας νόμιμος διερμηνέας Python που έχει μετονομαστεί σε Setup.exe. Αυτό το εκτελέσιμο αρχείο έχει ρυθμιστεί ώστε να εκκινεί μια κακόβουλη εντολή που αξιοποιεί το mshta.exe για να ανακτήσει το CountLoader έκδοση 3.2 από έναν απομακρυσμένο διακομιστή, ξεκινώντας αθόρυβα την παραβίαση.
Επιμονή μέσω εξαπάτησης και περιβαλλοντική ευαισθητοποίηση
Για να διασφαλίσει τη μακροπρόθεσμη πρόσβαση, το κακόβουλο λογισμικό δημιουργεί μια προγραμματισμένη εργασία που έχει σχεδιαστεί για να φαίνεται νόμιμη. Υιοθετεί το όνομα «GoogleTaskSystem136.0.7023.12» ακολουθούμενο από μια συμβολοσειρά που μοιάζει με ένα μοναδικό αναγνωριστικό. Αυτή η εργασία έχει ρυθμιστεί να εκτελείται κάθε 30 λεπτά για μια δεκαετία, καλώντας το mshta.exe και βασιζόμενο σε έναν εφεδρικό τομέα, εάν χρειάζεται.
Πριν οριστικοποιήσει τον μηχανισμό διατήρησης, το CountLoader ελέγχει το σύστημα για την παρουσία ενός συγκεκριμένου προϊόντος ασφαλείας, υποβάλλοντας ερώτημα στο απόθεμα antivirus μέσω των Windows Management Instrumentation (WMI). Εάν εντοπιστεί το εργαλείο, το πρόγραμμα φόρτωσης τροποποιεί διακριτικά τη μέθοδο εκτέλεσης για να χρησιμοποιήσει το cmd.exe /c start /b mshta.exe. Εάν όχι, επικοινωνεί απευθείας με την απομακρυσμένη διεύθυνση URL χρησιμοποιώντας το mshta.exe, ελαχιστοποιώντας τις τριβές και τις υποψίες.
Επεκτεινόμενες Δυνατότητες και Χαρακτηριστικά Modular
Μόλις εγκατασταθεί, το CountLoader δημιουργεί προφίλ του μολυσμένου κεντρικού υπολογιστή και ανακτά πρόσθετα ωφέλιμα φορτία, όπως απαιτείται. Η τελευταία έκδοση εισάγει νέες λειτουργίες, συμπεριλαμβανομένης της δυνατότητας εξάπλωσης μέσω αφαιρούμενων μονάδων USB και εκτέλεσης κακόβουλου κώδικα απευθείας στη μνήμη χρησιμοποιώντας το mshta.exe ή το PowerShell. Οι υποστηριζόμενες δυνατότητές του περιλαμβάνουν:
- Ανάκτηση και εκτέλεση εκτελέσιμων αρχείων από απομακρυσμένες διευθύνσεις URL
- Λήψη αρχείων ZIP και εκτέλεση ενσωματωμένων ενοτήτων Python ή αρχείων EXE
- Ανάκτηση αρχείων DLL και εκκίνησή τους μέσω του rundll32.exe
- Λήψη και εγκατάσταση πακέτων MSI
- Αφαίρεση της δικής του προγραμματισμένης εργασίας για τη μείωση των εγκληματολογικών ιχνών
- Συλλογή και εξαγωγή λεπτομερών πληροφοριών συστήματος
- Διάδοση μέσω αφαιρούμενων μέσων δημιουργώντας κακόβουλα αρχεία LNK παράλληλα με κρυφά πρωτότυπα, τα οποία εκτελούν τόσο το νόμιμο αρχείο όσο και το κακόβουλο λογισμικό μέσω του mshta.exe με παραμέτρους Command-and-Control.
- Άμεση κλήση του mshta.exe σε διευθύνσεις URL που ελέγχονται από εισβολείς
- Εκτέλεση απομακρυσμένων φορτίων PowerShell εξ ολοκλήρου στη μνήμη
Το Τελικό Φορτίο: Κλέφτης ACR
Στην παρατηρούμενη αλυσίδα επιθέσεων, το CountLoader τελικά παρέδωσε το ACR Stealer, ένα κακόβουλο λογισμικό κλοπής πληροφοριών που έχει σχεδιαστεί για να αποσπά ευαίσθητα δεδομένα από παραβιασμένα συστήματα. Αυτό το τελικό στάδιο μετατρέπει ένα αρχικό δόλωμα που περιλαμβάνει πειρατικό λογισμικό σε μια επιχείρηση κλοπής δεδομένων πλήρους κλίμακας.
Τι σηματοδοτεί αυτή η καμπάνια για τους υπερασπιστές
Αυτή η λειτουργία καταδεικνύει τη συνεχή εξέλιξη και την αυξανόμενη πολυπλοκότητα του CountLoader. Ο συνδυασμός κατάχρησης διερμηνέα Python, μεταμφίεσης προγραμματισμένων εργασιών, κακής χρήσης υπογεγραμμένου δυαδικού κώδικα και εκτέλεσης χωρίς αρχεία, εντός μνήμης, αντικατοπτρίζει μια ευρύτερη στροφή προς τεχνικές μυστικής εισβολής. Για τους υπερασπιστές, η καμπάνια ενισχύει τη σημασία της προληπτικής παρακολούθησης, των πολυεπίπεδων ελέγχων ασφαλείας και της ευαισθητοποίησης των χρηστών, ειδικά σχετικά με τους κινδύνους λήψης μη εξουσιοδοτημένου ή παραβιασμένου λογισμικού.
