CountLoader मैलवेयर

साइबर सुरक्षा विश्लेषकों ने एक नए मैलवेयर वितरण अभियान का पर्दाफाश किया है जो पायरेटेड सॉफ़्टवेयर बेचने वाली वेबसाइटों का दुरुपयोग करके काउंटलोडर नामक एक गुप्त, मॉड्यूलर लोडर के अपडेटेड संस्करण को फैलाता है। क्रैक किए गए एप्लिकेशन खोज रहे उपयोगकर्ताओं को निशाना बनाकर, ये ऑपरेटर शुरुआती पहुँच हासिल कर लेते हैं जिससे वे चुपके से पहुँच बना पाते हैं, सुरक्षा से बच निकलते हैं और अतिरिक्त दुर्भावनापूर्ण टूल को चरणबद्ध तरीके से वितरित कर पाते हैं।

बहु-स्तरीय घुसपैठ में काउंटलोडर की भूमिका

इस अभियान में, काउंटलोडर एक व्यापक आक्रमण श्रृंखला के पहले घटक के रूप में कार्य करता है। पहले की जांचों से पहले ही लोडर की कोबाल्ट स्ट्राइक, एडैप्टिक्ससी2, प्योरएचवीएनसी आरएटी, अमाटेरा स्टीलर और प्योरमाइनर सहित कई द्वितीयक पेलोड तैनात करने की क्षमता का पता चल चुका था। साक्ष्य बताते हैं कि काउंटलोडर का उपयोग कम से कम जून 2025 से वास्तविक हमलों में सक्रिय रूप से किया जा रहा है, जो इसकी परिपक्वता और निरंतर विकास को रेखांकित करता है।

फर्जी डाउनलोड से लेकर गुप्त निष्पादन तक

संक्रमण की शुरुआत तब होती है जब पीड़ित Microsoft Word जैसे वैध सॉफ़्टवेयर के क्रैक किए गए संस्करण डाउनलोड करने का प्रयास करते हैं। उन्हें अपेक्षित एप्लिकेशन प्राप्त होने के बजाय, MediaFire पर होस्ट किए गए एक ZIP आर्काइव पर भेज दिया जाता है। इस आर्काइव में दो महत्वपूर्ण चीज़ें होती हैं: एक एन्क्रिप्टेड ZIP फ़ाइल और एक Word दस्तावेज़ जिसमें इसे खोलने के लिए आवश्यक पासवर्ड दिया गया होता है।

सुरक्षित आर्काइव के अंदर एक वैध पायथन इंटरप्रेटर है जिसका नाम बदलकर Setup.exe कर दिया गया है। यह एक्जीक्यूटेबल फ़ाइल एक दुर्भावनापूर्ण कमांड को लॉन्च करने के लिए कॉन्फ़िगर की गई है जो mshta.exe का उपयोग करके एक रिमोट सर्वर से CountLoader संस्करण 3.2 को प्राप्त करती है, जिससे चुपचाप सुरक्षा उल्लंघन की प्रक्रिया शुरू हो जाती है।

छल और पर्यावरण जागरूकता के माध्यम से दृढ़ता

लंबे समय तक पहुंच सुनिश्चित करने के लिए, मैलवेयर एक वैध दिखने वाला निर्धारित कार्य बनाकर निरंतरता स्थापित करता है। यह 'GoogleTaskSystem136.0.7023.12' नाम अपनाता है, जिसके बाद एक अद्वितीय पहचानकर्ता से मिलती-जुलती स्ट्रिंग होती है। इस कार्य को दस वर्षों तक हर 30 मिनट में निष्पादित होने के लिए कॉन्फ़िगर किया गया है, जो mshta.exe को सक्रिय करता है और आवश्यकता पड़ने पर एक वैकल्पिक डोमेन पर निर्भर करता है।

अपने परसिस्टेंस मैकेनिज़्म को अंतिम रूप देने से पहले, काउंटलोडर विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन (WMI) के माध्यम से एंटीवायरस इन्वेंटरी से जानकारी लेकर सिस्टम में किसी विशिष्ट सुरक्षा उत्पाद की उपस्थिति की जाँच करता है। यदि टूल का पता चलता है, तो लोडर अपने निष्पादन विधि को बदलकर cmd.exe /c start /b mshta.exe का उपयोग करने लगता है। यदि नहीं, तो यह mshta.exe का उपयोग करके सीधे रिमोट URL से संपर्क करता है, जिससे संशय और परेशानी कम हो जाती है।

विस्तारित क्षमताएं और मॉड्यूलर विशेषताएं

एक बार स्थापित हो जाने के बाद, काउंटलोडर संक्रमित होस्ट का प्रोफाइल तैयार करता है और आवश्यकतानुसार अतिरिक्त पेलोड प्राप्त करता है। नवीनतम संस्करण में नई कार्यक्षमताएँ शामिल हैं, जिनमें रिमूवेबल यूएसबी ड्राइव के माध्यम से प्रसार करने और mshta.exe या पॉवरशेल का उपयोग करके सीधे मेमोरी में दुर्भावनापूर्ण कोड निष्पादित करने की क्षमता शामिल है। इसकी समर्थित क्षमताओं में निम्नलिखित शामिल हैं:

• दूरस्थ यूआरएल से निष्पादन योग्य फ़ाइलों को पुनर्प्राप्त करना और चलाना
• ZIP आर्काइव डाउनलोड करना और उसमें मौजूद Python मॉड्यूल या EXE फ़ाइलों को चलाना
• rundll32.exe के माध्यम से DLL फ़ाइलों को फ़ेच करना और उन्हें लॉन्च करना।
• MSI पैकेज डाउनलोड और इंस्टॉल करना
• फोरेंसिक साक्ष्यों को कम करने के लिए अपने निर्धारित कार्य को हटाना
• विस्तृत सिस्टम जानकारी एकत्र करना और उसे बाहर भेजना
• यह मैलवेयर हटाने योग्य मीडिया के माध्यम से गुप्त मूल फ़ाइलों के साथ-साथ दुर्भावनापूर्ण LNK फ़ाइलें बनाकर फैलता है, जो कमांड-एंड-कंट्रोल मापदंडों के साथ mshta.exe के माध्यम से वैध फ़ाइल और मैलवेयर दोनों को निष्पादित करता है।
• हमलावर द्वारा नियंत्रित यूआरएल के विरुद्ध सीधे mshta.exe को कॉल करना
• रिमोट पॉवरशेल पेलोड को पूरी तरह से मेमोरी में निष्पादित करना

अंतिम पेलोड: एसीआर स्टीलर

देखे गए हमले की श्रृंखला में, काउंटलोडर ने अंततः एसीआर स्टीलर को पहुंचाया, जो संवेदनशील डेटा को हैक किए गए सिस्टम से निकालने के लिए डिज़ाइन किया गया एक सूचना-चोरी मैलवेयर है। यह अंतिम चरण पायरेटेड सॉफ़्टवेयर से जुड़े शुरुआती प्रलोभन को एक पूर्ण पैमाने पर डेटा चोरी अभियान में बदल देता है।

इस अभियान से रक्षकों को क्या संकेत मिलता है?

यह ऑपरेशन काउंटलोडर के निरंतर विकास और बढ़ती हुई परिष्कृतता को दर्शाता है। पायथन इंटरप्रेटर का दुरुपयोग, शेड्यूल्ड टास्क का छद्मवेश, हस्ताक्षरित बाइनरी का दुरुपयोग और फ़ाइल रहित, मेमोरी में निष्पादन का संयोजन गुप्त घुसपैठ तकनीकों की ओर एक व्यापक बदलाव को दर्शाता है। सुरक्षाकर्मियों के लिए, यह अभियान सक्रिय निगरानी, स्तरीय सुरक्षा नियंत्रणों और उपयोगकर्ता जागरूकता के महत्व को रेखांकित करता है, विशेष रूप से अनधिकृत या क्रैक किए गए सॉफ़्टवेयर को डाउनलोड करने के जोखिमों के संबंध में।