Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware CountLoader kártevő

CountLoader kártevő

Mezo -ra Malware-ben
Fordítás ide:

Kiberbiztonsági elemzők egy új kártevő-terjesztési kampányt lepleztek le, amely kalózszoftvereket kínáló weboldalakat használ fel egy titkos, moduláris betöltő, a CountLoader frissített változatának terjesztésére. A feltört alkalmazásokat kereső felhasználókra vadászva a szolgáltatók kezdeti pozíciót szereznek, amely lehetővé teszi a titkos hozzáférést, a védelem megkerülését és további kártékony eszközök fokozatos eljuttatását.

A CountLoader szerepe egy többlépcsős behatolásban

Ebben a kampányban a CountLoader egy szélesebb támadási lánc első komponenseként működik. Korábbi vizsgálatok már kimutatták, hogy a betöltő képes számos másodlagos hasznos adatot telepíteni, beleértve a Cobalt Strike-ot, az AdaptixC2-t, a PureHVNC RAT-ot, az Amatera Stealer-t és a PureMiner-t. A bizonyítékok arra utalnak, hogy a CountLoader-t legalább 2025 júniusa óta aktívan használják valós támadásokban, ami aláhúzza érettségét és folyamatos fejlesztését.

A hamis letöltésektől a csendes kivégzésig

A fertőzési sorozat akkor kezdődik, amikor az áldozatok megpróbálnak letölteni egy legitim szoftver, például a Microsoft Word feltört verzióját. Ahelyett, hogy megkapnák az ígért alkalmazást, egy MediaFire által üzemeltetett ZIP archívumba kerülnek átirányításra. Ez az archívum két kulcsfontosságú elemet tartalmaz: egy titkosított ZIP fájlt és egy Word dokumentumot, amely kényelmesen tartalmazza a megnyitásához szükséges jelszót.

A védett archívumban található egy legitim Python interpreter, amelyet átneveztek Setup.exe-re. Ez a futtatható fájl úgy van konfigurálva, hogy egy rosszindulatú parancsot indítson, amely az mshta.exe fájlt használja a CountLoader 3.2-es verziójának lekéréséhez egy távoli szerverről, csendben elindítva a kompromittálódást.

Kitartás megtévesztés és környezettudatosság révén

A hosszú távú hozzáférés biztosítása érdekében a rosszindulatú program egy ütemezett, legitimnek tűnő feladat létrehozásával hozza létre a megmaradást. A feladat a „GoogleTaskSystem136.0.7023.12” nevet veszi fel, amelyet egy egyedi azonosítóra emlékeztető karakterlánc követ. Ez a feladat úgy van konfigurálva, hogy egy évtizeden keresztül 30 percenként végrehajtódjon, meghívva az mshta.exe fájlt, és szükség esetén egy tartalék domainre támaszkodva.

A CountLoader a biztonsági mechanizmus véglegesítése előtt ellenőrzi a rendszert egy adott biztonsági termék jelenlétére vonatkozóan a vírusvédelmi lekérdezés segítségével a Windows Management Instrumentation (WMI) szolgáltatáson keresztül. Ha a betöltő észleli az eszközt, finoman módosítja a végrehajtási metódust, és a cmd.exe /c start /b mshta.exe parancsot használja. Ha nem, akkor közvetlenül kapcsolatba lép a távoli URL-címmel az mshta.exe használatával, minimalizálva a súrlódást és a gyanút.

Bővíthető képességek és moduláris funkciók

A telepítés után a CountLoader profilt készít a fertőzött gépről, és szükség szerint további hasznos adatokat kér le. A legújabb verzió új funkciókat vezet be, beleértve a cserélhető USB-meghajtókon keresztüli terjedés lehetőségét, valamint a rosszindulatú kód közvetlenül a memóriában történő futtatását az mshta.exe vagy a PowerShell használatával. Támogatott képességei a következők:

  • Futtatható fájlok lekérése és futtatása távoli URL-ekről
  • ZIP archívumok letöltése és beágyazott Python modulok vagy EXE fájlok végrehajtása
  • DLL fájlok lekérése és indítása a rundll32.exe segítségével
  • MSI csomagok letöltése és telepítése
  • Saját ütemezett feladat eltávolítása a forenzikus nyomok csökkentése érdekében
  • Részletes rendszerinformációk gyűjtése és kinyerése
  • Terjedés cserélhető adathordozókon keresztül, rosszindulatú LNK fájlok létrehozásával a rejtett eredeti fájlok mellett, amelyek mind a legitim fájlt, mind a rosszindulatú programot az mshta.exe fájlon keresztül, Command-and-Control paraméterekkel futtatják.
  • Az mshta.exe közvetlen meghívása támadó által ellenőrzött URL-címek ellen
  • Távoli PowerShell-hasznosfájlok teljes végrehajtása a memóriában

A végső teher: ACR Stealer

A megfigyelt támadási láncban a CountLoader végül az ACR Stealer nevű, információkat ellopó rosszindulatú programot szállította le, amelynek célja, hogy érzékeny adatokat lopjon el a feltört rendszerekből. Ez az utolsó szakasz a kalózszoftverekkel kapcsolatos kezdeti csalit teljes körű adatlopási műveletté alakítja.

Mit jelez ez a kampány a védők számára?

Ez a művelet a CountLoader folyamatos fejlődését és növekvő kifinomultságát demonstrálja. A Python-értelmező visszaéléseinek, az ütemezett feladatmaszkolásnak, az aláírt bináris fájlok visszaélésének és a fájl nélküli, memóriában történő végrehajtásnak a kombinációja a lopakodóbb behatolási technikák felé való szélesebb körű elmozdulást tükrözi. A védők számára a kampány megerősíti a proaktív monitorozás, a rétegzett biztonsági ellenőrzések és a felhasználói tudatosság fontosságát, különösen a jogosulatlan vagy feltört szoftverek letöltésének kockázataival kapcsolatban.

Felkapott

CPanel fiók felfüggesztésével kapcsolatos e-mailes...

Adathalászat, Spam
A kiberbűnözők gyakran visszaélnek megbízható szakkifejezésekkel és szolgáltatásokkal, hogy átveréseik hihetőnek tűnjenek. A cPanel fiók felfüggesztésével kapcsolatos e-mailes átverés egyértelmű példa erre a taktikára, amely riasztó nyelvezettel próbálja a címzetteket gyors cselekvésre bírni. Ezek az e-mailek teljes mértékben csalárdak, és nem kapcsolódnak semmilyen legitim vállalathoz,...

Legnézettebb

Betöltés...