Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „CountLoader“ kenkėjiška programa

„CountLoader“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa
Versti į:

Kibernetinio saugumo analitikai atskleidė naują kenkėjiškų programų platinimo kampaniją, kurios metu piktnaudžiaujama piratine programine įranga siūlančiomis svetainėmis, siekiant platinti atnaujintą slapto modulinio įkroviklio, žinomo kaip „CountLoader“, variantą. Apsimesdami vartotojais, ieškančiais nulaužtų programų, operatoriai įgyja pradinę poziciją, kuri leidžia slapta pasiekti, apeiti gynybą ir etapais platinti papildomas kenkėjiškas priemones.

„CountLoader“ vaidmuo daugiapakopiame įsilaužime

Šioje kampanijoje „CountLoader“ veikia kaip pirmasis komponentas platesnėje atakų grandinėje. Ankstesni tyrimai jau parodė, kad įkroviklis gali diegti įvairius antrinius naudinguosius krūvius, įskaitant „Cobalt Strike“, „AdaptixC2“, „PureHVNC RAT“, „Amatera Stealer“ ir „PureMiner“. Įrodymai rodo, kad „CountLoader“ buvo aktyviai naudojamas realiose atakose mažiausiai nuo 2025 m. birželio mėn., o tai pabrėžia jo brandą ir nuolatinį tobulinimą.

Nuo netikrų atsisiuntimų iki tylaus vykdymo

Užkrėtimo seka prasideda, kai aukos bando atsisiųsti nulaužtas teisėtos programinės įrangos, tokios kaip „Microsoft Word“, versijas. Užuot gavusios žadėtą programą, jos nukreipiamos į „MediaFire“ talpinamą ZIP archyvą. Šiame archyve yra du pagrindiniai elementai: užšifruotas ZIP failas ir „Word“ dokumentas, kuriame patogiai pateikiamas slaptažodis, reikalingas jam atidaryti.

Apsaugotame archyve yra teisėtas „Python“ interpretatorius, pervadintas į „Setup.exe“. Šis vykdomasis failas sukonfigūruotas paleisti kenkėjišką komandą, kuri naudoja „mshta.exe“, kad gautų „CountLoader 3.2“ versiją iš nuotolinio serverio ir tyliai inicijuotų įsilaužimą.

Atkaklumas apgaulės ir aplinkos sąmoningumo dėka

Siekdama užtikrinti ilgalaikę prieigą, kenkėjiška programa užtikrina pastovumą sukurdama suplanuotą užduotį, kuri atrodo teisėta. Ji pasirenka pavadinimą „GoogleTaskSystem136.0.7023.12“, po kurio seka eilutė, panaši į unikalų identifikatorių. Ši užduotis sukonfigūruota vykdyti kas 30 minučių dešimtmetį, iškviečiant „mshta.exe“ ir prireikus naudojant atsarginį domeną.

Prieš užbaigdamas savo duomenų saugojimo mechanizmą, „CountLoader“ patikrina sistemoje, ar nėra konkretaus saugos produkto, užklausdamas antivirusinių programų sąrašą per „Windows Management Instrumentation“ (WMI). Jei įrankis aptinkamas, įkėlimo programa subtiliai pakeičia vykdymo metodą ir naudoja cmd.exe /c start /b mshta.exe. Jei ne, ji tiesiogiai susisiekia su nuotoliniu URL adresu naudodama mshta.exe, taip sumažindama trintį ir įtarimus.

Išplečiamos galimybės ir modulinės funkcijos

Įdiegus „CountLoader“, jis profiliuoja užkrėstą kompiuterį ir prireikus nuskaito papildomus naudinguosius duomenis. Naujausia versija pristato naujų funkcijų, įskaitant galimybę plisti per išimamus USB diskus ir vykdyti kenkėjišką kodą tiesiai atmintyje naudojant „mshta.exe“ arba „PowerShell“. Palaikomos funkcijos:

  • Vykdomųjų failų gavimas ir paleidimas iš nuotolinių URL adresų
  • ZIP archyvų atsisiuntimas ir įterptųjų Python modulių arba EXE failų vykdymas
  • DLL failų gavimas ir paleidimas naudojant rundll32.exe
  • MSI paketų atsisiuntimas ir diegimas
  • Pašalina savo suplanuotą užduotį, kad sumažintų teismo ekspertizės pėdsakus
  • Išsamios sistemos informacijos rinkimas ir išfiltravimas
  • Platinimas per išimamas laikmenas, kuriant kenkėjiškus LNK failus kartu su paslėptais originalais, kurie vykdo ir teisėtą failą, ir kenkėjišką programą per mshta.exe su Command-and-Control parametrais.
  • Tiesioginis mshta.exe iškvietimas prieš užpuoliko kontroliuojamus URL
  • Nuotolinių „PowerShell“ naudingųjų apkrovų vykdymas visiškai atmintyje

Galutinis krovinys: ACR vagystė

Stebimoje atakų grandinėje „CountLoader“ galiausiai pristatė „ACR Stealer“ – informaciją vagiančią kenkėjišką programą, skirtą slaptiems duomenims išgauti iš pažeistų sistemų. Šis paskutinis etapas pradinį piratinės programinės įrangos masalą paverčia plataus masto duomenų vagystės operacija.

Ką ši kampanija signalizuoja gynėjams

Ši operacija rodo nuolatinę „CountLoader“ evoliuciją ir didėjantį rafinuotumą. Piktnaudžiavimo „Python“ interpretatoriumi, suplanuotų užduočių maskavimo, pasirašytų dvejetainių failų netinkamo naudojimo ir vykdymo be failų, atmintyje, derinys atspindi platesnį poslinkį link slaptesnių įsilaužimo metodų. Gynėjams kampanija pabrėžia aktyvios stebėsenos, daugiasluoksnės saugumo kontrolės ir vartotojų informuotumo svarbą, ypač atsižvelgiant į neteisėtos ar nulaužtos programinės įrangos atsisiuntimo riziką.

Tendencijos

„cPanel“ paskyros sustabdymo el. pašto sukčiavimas

Sukčiavimas, Šlamštas
Kibernetiniai nusikaltėliai dažnai piktnaudžiauja patikimais techniniais terminais ir paslaugomis, kad jų sukčiavimas atrodytų įtikinamas. „cPanel“ paskyros sustabdymo el. pašto sukčiavimas yra aiškus šios taktikos pavyzdys, kai naudojama nerimą kelianti kalba, siekiant priversti gavėjus greitai veikti. Šie el. laiškai yra visiškai apgaulingi ir nėra susiję su jokiomis teisėtomis įmonėmis,...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
30,084
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...