Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara CountLoader pahavara

CountLoader pahavara

Aastaks Mezo aastal Pahavara
Tõlgi:

Küberturbeanalüütikud on paljastanud uue pahavara levitamise kampaania, mis kuritarvitab piraattarkvara pakkuvaid veebisaite, et levitada salajase modulaarse laaduri CountLoader uuendatud varianti. Krõkitud rakendusi otsivate kasutajate ärakasutamise abil saavad operaatorid esialgse tugipunkti, mis võimaldab salajast juurdepääsu, kaitsest kõrvalehoidumist ja täiendavate pahatahtlike tööriistade etapiviisilist levitamist.

CountLoaderi roll mitmeastmelises sissetungis

Selles kampaanias toimib CountLoader laiema rünnakuahela esimese komponendina. Varasemad uuringud on juba näidanud laaduri võimet rakendada mitmesuguseid teiseseid kasulikke koormusi, sealhulgas Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer ja PureMiner. Tõendid viitavad sellele, et CountLoaderit on reaalsetes rünnakutes aktiivselt kasutatud vähemalt alates 2025. aasta juunist, mis rõhutab selle küpsust ja jätkuvat arendamist.

Võltsitud allalaadimistest vaikse hukkamiseni

Nakatumise järjestus algab siis, kui ohvrid üritavad alla laadida krüptitud versioone legitiimsest tarkvarast, näiteks Microsoft Wordist. Lubatud rakenduse asemel suunatakse nad MediaFire'i hostitud ZIP-arhiivi. See arhiiv sisaldab kahte olulist elementi: krüptitud ZIP-faili ja Wordi dokumenti, mis pakub mugavalt selle avamiseks vajalikku parooli.

Kaitstud arhiivi sees on legitiimne Pythoni interpreter, mis on ümber nimetatud Setup.exe-ks. See käivitatav fail on konfigureeritud käivitama pahatahtlikku käsku, mis kasutab mshta.exe-d CountLoader versiooni 3.2 hankimiseks kaugserverist, algatades vaikselt kompromiteerimise.

Püsivus pettuse ja keskkonnateadlikkuse kaudu

Pikaajalise juurdepääsu tagamiseks loob pahavara püsivuse, luues ajastatud ülesande, mis näib olevat legitiimne. See võtab nimeks „GoogleTaskSystem136.0.7023.12”, millele järgneb unikaalset identifikaatorit meenutav string. See ülesanne on konfigureeritud käivituma iga 30 minuti järel kümne aasta jooksul, kutsudes esile mshta.exe ja vajadusel tuginedes varudomeenile.

Enne püsivusmehhanismi lõpuleviimist kontrollib CountLoader süsteemis konkreetse turvatoote olemasolu, pärides viirusetõrjeprogrammide inventuuri Windows Management Instrumentationi (WMI) kaudu. Kui tööriist tuvastatakse, muudab laadur märkamatult oma täitmismeetodit ja kasutab käsku cmd.exe /c start /b mshta.exe. Kui mitte, võtab see mshta.exe abil otse ühendust kaug-URL-iga, minimeerides hõõrdumist ja kahtlustamist.

Laiendatavad võimalused ja modulaarsed omadused

Kui CountLoader on loodud, profileerib see nakatunud hosti ja hangib vajadusel täiendavaid kasulikke andmeid. Uusim versioon pakub uusi funktsioone, sealhulgas võimalust levitada pahatahtlikku koodi eemaldatavate USB-draivide kaudu ja käivitada pahatahtlikku koodi otse mälus, kasutades mshta.exe või PowerShelli. Selle toetatud funktsioonide hulka kuuluvad:

  • Käivitatavate failide hankimine ja käivitamine kaugete URL-ide kaudu
  • ZIP-arhiivide allalaadimine ja manustatud Pythoni moodulite või EXE-failide käivitamine
  • DLL-failide toomine ja käivitamine rundll32.exe kaudu
  • MSI pakettide allalaadimine ja installimine
  • Oma ajastatud ülesande eemaldamine kohtuekspertiisi jälgede vähendamiseks
  • Üksikasjaliku süsteemiteabe kogumine ja filtreerimine
  • Levitamine eemaldatava andmekandja kaudu, luues pahatahtlikke LNK-faile koos peidetud originaalidega, mis käivitavad nii legitiimse faili kui ka pahavara mshta.exe kaudu Command-and-Control parameetritega.
  • mshta.exe otsene käivitamine ründaja kontrolli all olevate URL-ide vastu
  • PowerShelli kaugkoormuste täielik täitmine mälus

Lõplik koorem: ACR-i varastaja

Täheldatud rünnakuahelas edastas CountLoader lõpuks ACR Stealeri, mis on infot varastav pahavara, mis on loodud tundlike andmete hankimiseks ohustatud süsteemidest. See viimane etapp muudab esialgse piraattarkvara hõlmava peibutise täiemahuliseks andmevargusoperatsiooniks.

Mida see kampaania kaitsjatele annab märku

See operatsioon näitab CountLoaderi pidevat arengut ja kasvavat keerukust. Pythoni interpretaatori kuritarvitamise, ajastatud ülesannete maskeerimise, allkirjastatud binaarfailide väärkasutamise ja failideta mälus täitmise kombinatsioon peegeldab laiemat nihet varjatumate sissetungimistehnikate poole. Kaitsjate jaoks rõhutab kampaania ennetava jälgimise, kihiliste turvakontrollide ja kasutajate teadlikkuse olulisust, eriti volitamata või kräkitud tarkvara allalaadimise ohtude osas.

Trendikas

Enim vaadatud

Laadimine...