Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver CountLoader

Zlonamjerni softver CountLoader

Do Mezo. Malware. godine
Prevedi na:

Analitičari kibernetičke sigurnosti otkrili su novu kampanju distribucije zlonamjernog softvera koja zloupotrebljava web stranice koje nude piratski softver za širenje ažurirane varijante prikrivenog, modularnog programa za učitavanje poznatog kao CountLoader. Iskorištavanjem korisnika koji traže krekirane aplikacije, operateri stječu početni oslonac koji omogućuje prikriveni pristup, izbjegavanje obrane i postupnu isporuku dodatnih zlonamjernih alata.

Uloga CountLoadera u višefaznom upadu

U ovoj kampanji, CountLoader funkcionira kao prva komponenta u širem lancu napada. Ranije istrage već su pokazale sposobnost učitavača da rasporedi niz sekundarnih korisnih tereta, uključujući Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer i PureMiner. Dokazi upućuju na to da se CountLoader aktivno koristi u napadima u stvarnom svijetu barem od lipnja 2025., što naglašava njegovu zrelost i kontinuirani razvoj.

Od lažnih preuzimanja do tihog izvršenja

Slijed infekcije započinje kada žrtve pokušaju preuzeti krekirane verzije legitimnog softvera poput Microsoft Worda. Umjesto da prime obećanu aplikaciju, preusmjeravaju se na ZIP arhivu koju hostira MediaFire. Ova arhiva sadrži dvije ključne stavke: šifriranu ZIP datoteku i Word dokument koji praktično pruža lozinku potrebnu za njegovo otvaranje.

Unutar zaštićene arhive nalazi se legitimni Python interpreter koji je preimenovan u Setup.exe. Ova izvršna datoteka konfigurirana je za pokretanje zlonamjerne naredbe koja koristi mshta.exe za preuzimanje CountLoader verzije 3.2 s udaljenog poslužitelja, tiho inicirajući kompromitaciju.

Ustrajnost kroz obmanu i svijest o okolišu

Kako bi osigurao dugoročni pristup, zlonamjerni softver uspostavlja postojanost stvaranjem zakazanog zadatka osmišljenog da izgleda legitimno. Usvaja naziv 'GoogleTaskSystem136.0.7023.12' nakon čega slijedi niz koji nalikuje jedinstvenom identifikatoru. Ovaj zadatak konfiguriran je za izvršavanje svakih 30 minuta tijekom desetljeća, pozivajući mshta.exe i oslanjajući se na rezervnu domenu ako je potrebno.

Prije finaliziranja mehanizma perzistentnosti, CountLoader provjerava sustav na prisutnost određenog sigurnosnog proizvoda upitom antivirusnom inventaru putem Windows Management Instrumentation (WMI). Ako se alat otkrije, program za učitavanje suptilno mijenja svoju metodu izvršavanja kako bi koristio cmd.exe /c start /b mshta.exe. Ako ne, izravno kontaktira udaljeni URL pomoću mshta.exe, minimizirajući trenje i sumnju.

Proširivanje mogućnosti i modularnih značajki

Nakon što se uspostavi, CountLoader profilira zaraženi host i po potrebi dohvaća dodatne podatke. Najnovija iteracija uvodi nove funkcionalnosti, uključujući mogućnost širenja putem prijenosnih USB pogona i izvršavanja zlonamjernog koda izravno u memoriji pomoću mshta.exe ili PowerShell-a. Njegove podržane mogućnosti uključuju:

  • Dohvaćanje i pokretanje izvršnih datoteka s udaljenih URL-ova
  • Preuzimanje ZIP arhiva i izvršavanje ugrađenih Python modula ili EXE datoteka
  • Dohvaćanje DLL datoteka i njihovo pokretanje putem rundll32.exe
  • Preuzimanje i instaliranje MSI paketa
  • Uklanjanje vlastitog planiranog zadatka radi smanjenja forenzičkih tragova
  • Prikupljanje i izdvajanje detaljnih informacija o sustavu
  • Širenje putem prijenosnih medija stvaranjem zlonamjernih LNK datoteka uz skrivene originale, koje izvršavaju i legitimnu datoteku i zlonamjerni softver putem mshta.exe s parametrima Command-and-Control
  • Izravno pozivanje mshta.exe protiv URL-ova koje kontrolira napadač
  • Izvršavanje udaljenih PowerShell korisnih tereta u cijelosti u memoriji

Konačni teret: Kradljivac ACR-a

U promatranom lancu napada, CountLoader je na kraju isporučio ACR Stealer, zlonamjerni softver za krađu informacija osmišljen za izvlačenje osjetljivih podataka iz kompromitiranih sustava. Ova posljednja faza pretvara početni mamac koji uključuje piratski softver u opsežnu operaciju krađe podataka.

Što ova kampanja signalizira braniteljima

Ova operacija pokazuje kontinuiranu evoluciju i rastuću sofisticiranost CountLoadera. Kombinacija zlouporabe Python interpretera, maskiranja zakazanih zadataka, zlouporabe potpisanih binarnih datoteka i izvršavanja u memoriji bez datoteka odražava širi pomak prema prikrivenijim tehnikama upada. Za branitelje, kampanja naglašava važnost proaktivnog praćenja, slojevitih sigurnosnih kontrola i svijesti korisnika, posebno o rizicima preuzimanja neovlaštenog ili crackiranog softvera.

U trendu

Prijevara putem e-pošte o suspenziji cPanel računa

Krađa identiteta, Spam
Kibernetički kriminalci često zloupotrebljavaju pouzdane tehničke pojmove i usluge kako bi svoje prijevare prikazali kao vjerodostojne. Prijevara putem e-pošte o suspenziji cPanel računa jasan je primjer ove taktike, koristeći uznemirujući jezik kako bi se izvršio pritisak na primatelje da brzo djeluju. Ove e-poruke su u potpunosti lažne i nisu povezane s legitimnim tvrtkama, organizacijama ili...

Nagledanije

Učitavam...