Malware CountLoader
Gli analisti della sicurezza informatica hanno scoperto una nuova campagna di distribuzione di malware che sfrutta i siti web che offrono software piratato per diffondere una variante aggiornata di un loader modulare e nascosto noto come CountLoader. Predando gli utenti alla ricerca di applicazioni craccate, gli operatori ottengono un punto d'appoggio iniziale che consente l'accesso furtivo, l'elusione delle difese e la distribuzione graduale di ulteriori strumenti dannosi.
Sommario
Ruolo di CountLoader in un’intrusione multifase
In questa campagna, CountLoader funge da primo componente di una catena di attacchi più ampia. Precedenti indagini avevano già dimostrato la capacità del loader di distribuire una gamma di payload secondari, tra cui Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer e PureMiner. Le prove suggeriscono che CountLoader sia stato utilizzato attivamente in attacchi reali almeno da giugno 2025, a conferma della sua maturità e del suo continuo sviluppo.
Dai download falsi all’esecuzione silenziosa
La sequenza di infezione inizia quando le vittime tentano di scaricare versioni craccate di software legittimi come Microsoft Word. Invece di ricevere l'applicazione promessa, vengono reindirizzate a un archivio ZIP ospitato da MediaFire. Questo archivio contiene due elementi chiave: un file ZIP crittografato e un documento Word che fornisce la password necessaria per aprirlo.
All'interno dell'archivio protetto è presente un interprete Python legittimo, rinominato Setup.exe. Questo eseguibile è configurato per lanciare un comando dannoso che sfrutta mshta.exe per recuperare CountLoader versione 3.2 da un server remoto, avviando silenziosamente la compromissione.
Persistenza attraverso l’inganno e la consapevolezza ambientale
Per garantire l'accesso a lungo termine, il malware stabilisce la persistenza creando un'attività pianificata progettata per apparire legittima. Adotta il nome "GoogleTaskSystem136.0.7023.12" seguito da una stringa simile a un identificatore univoco. Questa attività è configurata per essere eseguita ogni 30 minuti per un decennio, richiamando mshta.exe e affidandosi a un dominio di fallback, se necessario.
Prima di finalizzare il suo meccanismo di persistenza, CountLoader verifica la presenza nel sistema di uno specifico prodotto di sicurezza interrogando l'inventario antivirus tramite Windows Management Instrumentation (WMI). Se lo strumento viene rilevato, il caricatore modifica leggermente il suo metodo di esecuzione per utilizzare cmd.exe /c start /b mshta.exe. In caso contrario, contatta direttamente l'URL remoto tramite mshta.exe, riducendo al minimo attriti e sospetti.
Espansione delle capacità e caratteristiche modulari
Una volta stabilito, CountLoader profila l'host infetto e recupera payload aggiuntivi secondo necessità. L'ultima versione introduce nuove funzionalità, tra cui la possibilità di diffondersi tramite unità USB rimovibili e di eseguire codice dannoso direttamente in memoria utilizzando mshta.exe o PowerShell. Le funzionalità supportate includono:
- Recupero ed esecuzione di file eseguibili da URL remoti
- Scaricare archivi ZIP ed eseguire moduli Python incorporati o file EXE
- Recupero dei file DLL e loro avvio tramite rundll32.exe
- Download e installazione dei pacchetti MSI
- Rimozione della propria attività pianificata per ridurre le tracce forensi
- Raccolta ed esfiltrazione di informazioni dettagliate sul sistema
- Propagazione tramite supporti rimovibili mediante la creazione di file LNK dannosi insieme agli originali nascosti, che eseguono sia il file legittimo che il malware tramite mshta.exe con parametri di comando e controllo
- Richiamo diretto di mshta.exe contro URL controllati dall'aggressore
- Esecuzione di payload PowerShell remoti interamente in memoria
Il carico finale: ACR Stealer
Nella catena di attacco osservata, CountLoader ha infine distribuito ACR Stealer, un malware che ruba informazioni progettato per sottrarre dati sensibili da sistemi compromessi. Questa fase finale trasforma un'esca iniziale che coinvolge software piratato in un'operazione di furto di dati su vasta scala.
Cosa segnala questa campagna ai difensori
Questa operazione dimostra la continua evoluzione e la crescente sofisticazione di CountLoader. La combinazione di abuso dell'interprete Python, mascheramento di attività pianificate, uso improprio di file binari firmati ed esecuzione in memoria senza file riflette un più ampio spostamento verso tecniche di intrusione più stealth. Per i difensori, la campagna rafforza l'importanza del monitoraggio proattivo, dei controlli di sicurezza a più livelli e della consapevolezza degli utenti, in particolare sui rischi derivanti dal download di software non autorizzato o craccato.
