قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار CountLoader

بدافزار CountLoader

تا Mezo در بدافزار
ترجمه به:

تحلیلگران امنیت سایبری یک کمپین توزیع بدافزار جدید را کشف کرده‌اند که از وب‌سایت‌های ارائه‌دهنده نرم‌افزارهای غیرقانونی سوءاستفاده می‌کند تا نوع به‌روز شده‌ای از یک لودر ماژولار مخفی به نام CountLoader را منتشر کند. با طعمه قرار دادن کاربرانی که در جستجوی برنامه‌های کرک‌شده هستند، اپراتورها جای پای اولیه‌ای به دست می‌آورند که امکان دسترسی مخفیانه، فرار از دفاع و توزیع مرحله‌ای ابزارهای مخرب اضافی را فراهم می‌کند.

نقش CountLoader در یک نفوذ چند مرحله‌ای

در این کمپین، CountLoader به عنوان اولین جزء در یک زنجیره حمله گسترده‌تر عمل می‌کند. تحقیقات قبلی، توانایی این لودر را در استقرار طیف وسیعی از پیلودهای ثانویه، از جمله Cobalt Strike، AdaptixC2، PureHVNC RAT، Amatera Stealer و PureMiner نشان داده بود. شواهد نشان می‌دهد که CountLoader حداقل از ژوئن 2025 به طور فعال در حملات دنیای واقعی مورد استفاده قرار گرفته است که نشان‌دهنده بلوغ و توسعه مداوم آن است.

از دانلودهای جعلی تا اجرای بی‌سروصدا

روند آلودگی زمانی آغاز می‌شود که قربانیان سعی می‌کنند نسخه‌های کرک‌شده‌ی نرم‌افزارهای قانونی مانند مایکروسافت ورد را دانلود کنند. به جای دریافت برنامه‌ی وعده داده شده، آنها به یک فایل فشرده‌ی فشرده‌ی میزبانی‌شده توسط مدیافایر هدایت می‌شوند. این فایل فشرده شامل دو مورد کلیدی است: یک فایل فشرده‌ی رمزگذاری‌شده و یک سند ورد که به راحتی رمز عبور مورد نیاز برای باز کردن آن را ارائه می‌دهد.

درون آرشیو محافظت‌شده، یک مفسر پایتون قانونی وجود دارد که به Setup.exe تغییر نام داده است. این فایل اجرایی طوری پیکربندی شده است که یک دستور مخرب را اجرا کند که از mshta.exe برای بازیابی CountLoader نسخه ۳.۲ از یک سرور راه دور استفاده می‌کند و بی‌سروصدا نفوذ را آغاز می‌کند.

پایداری از طریق فریب و آگاهی محیطی

برای اطمینان از دسترسی بلندمدت، این بدافزار با ایجاد یک وظیفه زمان‌بندی‌شده که طوری طراحی شده که قانونی به نظر برسد، پایداری خود را حفظ می‌کند. این بدافزار نام «GoogleTaskSystem136.0.7023.12» را به همراه رشته‌ای شبیه به یک شناسه منحصر به فرد به خود می‌گیرد. این وظیفه به گونه‌ای پیکربندی شده است که هر 30 دقیقه به مدت یک دهه اجرا شود و mshta.exe را فراخوانی کند و در صورت نیاز به یک دامنه جایگزین متکی باشد.

قبل از نهایی کردن مکانیسم پایداری خود، CountLoader با پرس و جو از موجودی آنتی ویروس از طریق ابزار مدیریت ویندوز (WMI)، سیستم را برای وجود یک محصول امنیتی خاص بررسی می‌کند. اگر ابزار شناسایی شود، لودر به طور نامحسوس روش اجرای خود را برای استفاده از cmd.exe /c start /b mshta.exe تغییر می‌دهد. در غیر این صورت، مستقیماً با استفاده از mshta.exe با URL از راه دور تماس می‌گیرد و سوءظن را به حداقل می‌رساند.

گسترش قابلیت‌ها و ویژگی‌های ماژولار

پس از ایجاد، CountLoader میزبان آلوده را شناسایی کرده و در صورت نیاز، پیلودهای اضافی را بازیابی می‌کند. آخرین نسخه، قابلیت‌های جدیدی از جمله توانایی انتشار از طریق درایوهای USB قابل جابجایی و اجرای کد مخرب مستقیماً در حافظه با استفاده از mshta.exe یا PowerShell را معرفی می‌کند. قابلیت‌های پشتیبانی شده آن عبارتند از:

  • بازیابی و اجرای فایل‌های اجرایی از URL های راه دور
  • دانلود آرشیوهای ZIP و اجرای ماژول‌های پایتون جاسازی‌شده یا فایل‌های EXE
  • دریافت فایل‌های DLL و اجرای آنها از طریق rundll32.exe
  • دانلود و نصب بسته‌های MSI
  • حذف وظیفه برنامه‌ریزی‌شده‌ی خود برای کاهش ردپاهای قانونی
  • جمع‌آوری و استخراج اطلاعات دقیق سیستم
  • انتشار از طریق رسانه‌های قابل حمل با ایجاد فایل‌های LNK مخرب در کنار فایل‌های اصلی پنهان، که هم فایل قانونی و هم بدافزار را از طریق mshta.exe با پارامترهای فرمان و کنترل اجرا می‌کنند.
  • فراخوانی مستقیم mshta.exe علیه URL های تحت کنترل مهاجم
  • اجرای کامل پیلودهای PowerShell از راه دور در حافظه

آخرین محموله: دزد ACR

در زنجیره حمله مشاهده‌شده، CountLoader در نهایت ACR Stealer را توزیع کرد، یک بدافزار سارق اطلاعات که برای سرقت داده‌های حساس از سیستم‌های آسیب‌دیده طراحی شده است. این مرحله نهایی، یک فریب اولیه شامل نرم‌افزارهای غیرقانونی را به یک عملیات سرقت داده تمام‌عیار تبدیل می‌کند.

این کمپین چه پیامی برای مدافعان حقوق بشر دارد؟

این عملیات، تکامل مداوم و پیچیدگی رو به رشد CountLoader را نشان می‌دهد. ترکیبی از سوءاستفاده از مفسر پایتون، تغییر ظاهر وظایف زمان‌بندی‌شده، سوءاستفاده از فایل‌های باینری امضا شده و اجرای بدون فایل در حافظه، نشان‌دهنده‌ی تغییر گسترده‌تر به سمت تکنیک‌های نفوذ مخفیانه‌تر است. برای مدافعان، این کمپین اهمیت نظارت پیشگیرانه، کنترل‌های امنیتی لایه‌ای و آگاهی کاربر، به ویژه در مورد خطرات دانلود نرم‌افزارهای غیرمجاز یا کرک‌شده را تقویت می‌کند.

پرطرفدار

کلاهبرداری ایمیلی تعلیق حساب کاربری سی‌پنل

فیشینگ, هرزنامه
مجرمان سایبری اغلب از اصطلاحات و خدمات فنی معتبر سوءاستفاده می‌کنند تا کلاهبرداری‌های خود را معتبر جلوه دهند. کلاهبرداری ایمیلی تعلیق حساب کاربری cPanel نمونه بارزی از این تاکتیک است که با استفاده از زبان هشدار دهنده، گیرندگان را برای اقدام سریع تحت فشار قرار می‌دهد. این ایمیل‌ها کاملاً جعلی هستند و با هیچ شرکت، سازمان یا ارائه دهنده خدمات قانونی، از جمله cPanel یا Microsoft Outlook، مرتبط...

Webmotion.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
هوشیار ماندن هنگام گشت و گذار در وب ضروری است، زیرا سایت‌های فریبنده و طرح‌های تبلیغاتی تهاجمی همچنان در حال تکامل هستند. عوامل تهدید به طور معمول صفحاتی ایجاد می‌کنند که عملکردهای قانونی را تقلید...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
30,084
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...