Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma CountLoader-haittaohjelma

CountLoader-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma
Käännä:

Kyberturvallisuusanalyytikot ovat paljastaneet uuden haittaohjelmien levityskampanjan, joka väärinkäyttää laittomasti kopioituja ohjelmistoja tarjoavia verkkosivustoja levittääkseen päivitettyä versiota salaisesta, modulaarisesta latausohjelmasta, joka tunnetaan nimellä CountLoader. Hyökkäilemällä krakattuja sovelluksia etsiviin käyttäjiin operaattorit saavat alustavan jalansijan, joka mahdollistaa salaisen pääsyn, puolustusten kiertämisen ja muiden haittaohjelmien vaiheittaisen toimittamisen.

CountLoaderin rooli monivaiheisessa tunkeutumisessa

Tässä kampanjassa CountLoader toimii ensimmäisenä komponenttina laajemmassa hyökkäysketjussa. Aiemmat tutkimukset ovat jo osoittaneet lataajan kyvyn ottaa käyttöön useita toissijaisia hyötykuormia, kuten Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer ja PureMiner. Todisteet viittaavat siihen, että CountLoaderia on käytetty aktiivisesti oikeissa hyökkäyksissä ainakin kesäkuusta 2025 lähtien, mikä korostaa sen kypsyyttä ja jatkuvaa kehitystä.

Väärennetyistä latauksista hiljaiseen teloitukseen

Tartuntaketju alkaa, kun uhrit yrittävät ladata murrettuja versioita laillisista ohjelmistoista, kuten Microsoft Wordista. Luvatun sovelluksen sijaan heidät ohjataan MediaFiren ylläpitämään ZIP-arkistoon. Tämä arkisto sisältää kaksi keskeistä kohdetta: salatun ZIP-tiedoston ja Word-asiakirjan, joka kätevästi tarjoaa sen avaamiseen tarvittavan salasanan.

Suojatun arkiston sisällä on laillinen Python-tulkki, joka on nimetty uudelleen Setup.exe-tiedostoksi. Tämä suoritettava tiedosto on määritetty käynnistämään haitallinen komento, joka hyödyntää mshta.exe-tiedostoa noutaakseen CountLoader-version 3.2 etäpalvelimelta ja aloittaakseen tietomurron hiljaisesti.

Pysyvyys petoksen ja ympäristötietoisuuden avulla

Pitkäaikaisen käytön varmistamiseksi haittaohjelma luo pysyvyyden luomalla ajoitetun tehtävän, joka näyttää lailliselta. Se ottaa nimen 'GoogleTaskSystem136.0.7023.12', jota seuraa yksilöllistä tunnistetta muistuttava merkkijono. Tämä tehtävä on määritetty suoritettavaksi 30 minuutin välein vuosikymmenen ajan, kutsuen mshta.exe-tiedostoa ja tarvittaessa varaverkkotunnusta käyttäen.

Ennen pysyvyysmekanisminsa viimeistelyä CountLoader tarkistaa järjestelmässä tietyn tietoturvatuotteen olemassaolon tekemällä kyselyn virustorjuntaohjelmien luettelosta Windows Management Instrumentationin (WMI) kautta. Jos työkalu havaitaan, lataaja muuttaa suoritustapaansa hienovaraisesti ja käyttää cmd.exe /c start /b mshta.exe -komentoa. Muussa tapauksessa se ottaa suoraan yhteyden etä-URL-osoitteeseen mshta.exe-komennolla, mikä minimoi kitkan ja epäilykset.

Laajennetut ominaisuudet ja modulaariset ominaisuudet

Kun CountLoader on määritetty, se profiloi tartunnan saaneen isännän ja hakee tarvittaessa lisää hyötykuormia. Uusin versio tuo mukanaan uusia toimintoja, kuten mahdollisuuden levittää virusta irrotettavien USB-asemien kautta ja suorittaa haitallista koodia suoraan muistissa käyttämällä mshta.exe- tai PowerShell-komentoa. Sen tuettuihin ominaisuuksiin kuuluvat:

  • Suoritettavien tiedostojen hakeminen ja suorittaminen etä-URL-osoitteista
  • ZIP-arkistojen lataaminen ja upotettujen Python-moduulien tai EXE-tiedostojen suorittaminen
  • DLL-tiedostojen hakeminen ja käynnistäminen rundll32.exe-komennon kautta
  • MSI-pakettien lataaminen ja asentaminen
  • Oman ajoitetun tehtävän poistaminen rikosteknisten jälkien vähentämiseksi
  • Yksityiskohtaisten järjestelmätietojen kerääminen ja suodattaminen
  • Levitys siirrettävien tietovälineiden kautta luomalla haitallisia LNK-tiedostoja piilotettujen alkuperäisten tiedostojen rinnalle, jotka suorittavat sekä laillisen tiedoston että haittaohjelman mshta.exe-tiedoston kautta komento- ja hallintaparametreilla.
  • mshta.exe-komennon suora käynnistäminen hyökkääjän hallitsemia URL-osoitteita vastaan
  • Etä PowerShell-hyötykuormien suorittaminen kokonaan muistissa

Lopullinen hyötykuorma: ACR-varas

Havaitussa hyökkäysketjussa CountLoader toimitti lopulta ACR Stealerin, tietoja varastavan haittaohjelman, joka on suunniteltu viemään arkaluonteisia tietoja vaarantuneista järjestelmistä. Tämä viimeinen vaihe muuttaa alkuperäisen piraattiohjelmistoihin liittyvän houkutuksen täysimittaiseksi tietovarkausoperaatioksi.

Mitä tämä kampanja viestii puolustajille

Tämä operaatio osoittaa CountLoaderin jatkuvaa kehitystä ja kasvavaa hienostuneisuutta. Python-tulkkien väärinkäytön, ajoitettujen tehtävien naamioinnin, allekirjoitettujen binääritiedostojen väärinkäytön ja tiedostottoman, muistissa tapahtuvan suorittamisen yhdistelmä heijastaa laajempaa siirtymistä kohti huomaamattomampia tunkeutumistekniikoita. Puolustajien kannalta kampanja korostaa ennakoivan valvonnan, kerroksellisten turvatoimien ja käyttäjien tietoisuuden merkitystä, erityisesti luvattoman tai murretun ohjelmiston lataamisen riskeistä.

Trendaavat

CPanel-tilin jäädytyssähköpostihuijaus

Tietojenkalastelu, Roskaposti
Kyberrikolliset käyttävät usein väärin luotettavia teknisiä termejä ja palveluita saadakseen huijauksensa näyttämään uskottavilta. cPanel-tilin jäädytyssähköpostihuijaus on selkeä esimerkki tästä taktiikasta, jossa käytetään hälyttävää kieltä painostaakseen vastaanottajia toimimaan nopeasti. Nämä sähköpostit ovat täysin vilpillisiä, eivätkä ne liity mihinkään laillisiin yrityksiin,...

Eniten katsottu

Ladataan...