תוכנה זדונית של CountLoader

אנליסטים בתחום אבטחת הסייבר חשפו קמפיין חדש להפצת תוכנות זדוניות, אשר מנצל לרעה אתרים המציעים תוכנה פיראטית כדי להפיץ גרסה מעודכנת של טוען סודי ומודולרי המכונה CountLoader. על ידי ניצול משתמשים המחפשים אפליקציות פרוצות, המפעילים משיגים דריסת רגל ראשונית המאפשרת גישה חשאית, התחמקות מהגנת הגנה ומסירה מדורגת של כלים זדוניים נוספים.

תפקידו של CountLoader בפריצה רב-שלבית

בקמפיין זה, CountLoader מתפקד כמרכיב הראשון בשרשרת תקיפה רחבה יותר. חקירות קודמות כבר הראו את יכולתו של ה-CountLoader לפרוס מגוון מטענים משניים, כולל Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer ו-PureMiner. עדויות מצביעות על כך ש-CountLoader נמצא בשימוש פעיל במתקפות בעולם האמיתי לפחות מאז יוני 2025, דבר המדגיש את בגרותו ואת המשך פיתוחו.

מהורדות מזויפות לביצוע שקט

רצף ההדבקה מתחיל כאשר הקורבנות מנסים להוריד גרסאות פרוצות של תוכנה לגיטימית כמו Microsoft Word. במקום לקבל את האפליקציה המובטחת, הם מופנים לארכיון ZIP המתארח ב-MediaFire. ארכיון זה מכיל שני פריטים עיקריים: קובץ ZIP מוצפן ומסמך Word המספק בנוחות את הסיסמה הדרושה לפתיחתו.

בתוך הארכיון המוגן נמצא מפרש Python לגיטימי ששמו שונה ל-Setup.exe. קובץ ההפעלה הזה מוגדר להפעיל פקודה זדונית המנצלת את mshta.exe כדי לאחזר את CountLoader גרסה 3.2 משרת מרוחק, ובכך להתחיל בשקט את הפריצה.

התמדה באמצעות הטעיה ומודעות סביבתית

כדי להבטיח גישה לטווח ארוך, התוכנה הזדונית יוצרת גישה עקבית על ידי יצירת משימה מתוזמנת שנועדה להיראות לגיטימית. היא מאמצת את השם 'GoogleTaskSystem136.0.7023.12' ואחריה מחרוזת הדומה למזהה ייחודי. משימה זו מוגדרת להתבצע כל 30 דקות במשך עשור, תוך קריאה ל-mshta.exe והסתמכות על דומיין גיבוי במידת הצורך.

לפני סיום מנגנון ההתמדה שלו, CountLoader בודק את המערכת לאיתור נוכחות של מוצר אבטחה ספציפי על ידי שאילתה על מלאי האנטי-וירוס דרך Windows Management Instrumentation (WMI). אם הכלי מזוהה, הטוען משנה בעדינות את שיטת הביצוע שלו לשימוש ב-cmd.exe /c start /b mshta.exe. אם לא, הוא יוצר קשר ישירות עם כתובת האתר המרוחקת באמצעות mshta.exe, ובכך ממזער חיכוכים וחשד.

הרחבת יכולות ותכונות מודולריות

לאחר הקמתו, CountLoader יוצר פרופיל של המארח הנגוע ומאחזר מטענים נוספים לפי הצורך. הגרסה האחרונה מציגה פונקציונליות חדשה, כולל היכולת להתפשט דרך כונני USB נשלפים ולהפעיל קוד זדוני ישירות בזיכרון באמצעות mshta.exe או PowerShell. היכולות הנתמכות שלו כוללות:

• אחזור והפעלה של קבצי הרצה מכתובות URL מרוחקות
• הורדת ארכיוני ZIP והפעלת מודולים או קבצי EXE מוטמעים של Python
• אחזור קבצי DLL והפעלתם דרך rundll32.exe
• הורדה והתקנה של חבילות MSI
• הסרת המשימה המתוזמנת שלה כדי להפחית עקבות פורנזיות
• איסוף וחילוץ מידע מפורט ממערכת
• הפצה דרך מדיה נשלפת על ידי יצירת קבצי LNK זדוניים לצד קבצי מקור נסתרים, אשר מפעילים גם את הקובץ הלגיטימי וגם את התוכנה הזדונית דרך mshta.exe עם פרמטרים של Command and Control
• הפעלה ישירה של mshta.exe כנגד כתובות URL הנשלטות על ידי תוקפים
• ביצוע מטענים של PowerShell מרוחקים במלואם בזיכרון

המטען הסופי: גונב ACR

בשרשרת ההתקפה שנצפתה, CountLoader סיפקה בסופו של דבר את ACR Stealer, תוכנה זדונית לגניבת מידע שנועדה לשאוב נתונים רגישים ממערכות פרוצות. שלב סופי זה הופך פיתוי ראשוני הכולל תוכנה פיראטית לפעולת גניבת נתונים בקנה מידה מלא.

מה הקמפיין הזה מאותת למגינים

פעולה זו מדגימה את ההתפתחות המתמשכת והתחכום הגובר של CountLoader. השילוב של שימוש לרעה במתפרש Python, הסתרת משימות מתוזמנות, שימוש לרעה בבינארי חתום וביצוע ללא קבצים בזיכרון משקף מעבר רחב יותר לעבר טכניקות חדירה חשאיות יותר. עבור מגיני אבטחה, הקמפיין מחזק את החשיבות של ניטור פרואקטיבי, בקרות אבטחה מרובדות ומודעות המשתמש, במיוחד סביב הסיכונים של הורדת תוכנה לא מורשית או פרוצה.