Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra CountLoader ļaunprogrammatūra

CountLoader ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības analītiķi ir atklājuši jaunu ļaunprogrammatūras izplatīšanas kampaņu, kas ļaunprātīgi izmanto tīmekļa vietnes, kuras piedāvā pirātisku programmatūru, lai izplatītu atjauninātu slepena, modulāra ielādētāja, kas pazīstams kā CountLoader, variantu. Izmantojot lietotājus, kas meklē uzlauztas lietojumprogrammas, operatori iegūst sākotnējo atbalstu, kas nodrošina slepenu piekļuvi, aizsardzības apiešanu un pakāpenisku papildu ļaunprogrammatūras rīku piegādi.

CountLoader loma daudzpakāpju ielaušanās procesā

Šajā kampaņā CountLoader darbojas kā pirmais komponents plašākā uzbrukuma ķēdē. Iepriekšējās izmeklēšanas jau bija parādījušas ielādētāja spēju izvietot virkni sekundāro vērtumu, tostarp Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer un PureMiner. Pierādījumi liecina, ka CountLoader ir aktīvi izmantots reālos uzbrukumos vismaz kopš 2025. gada jūnija, kas uzsver tā briedumu un nepārtraukto attīstību.

No viltotām lejupielādēm līdz klusai izpildei

Infekcijas secība sākas, kad upuri mēģina lejupielādēt uzlauztas likumīgas programmatūras, piemēram, Microsoft Word, versijas. Tā vietā, lai saņemtu solīto lietojumprogrammu, viņi tiek novirzīti uz MediaFire mitinātu ZIP arhīvu. Šajā arhīvā ir divi galvenie elementi: šifrēts ZIP fails un Word dokuments, kas ērti nodrošina tā atvēršanai nepieciešamo paroli.

Aizsargātajā arhīvā atrodas likumīgs Python interpretētājs, kas ir pārdēvēts par Setup.exe. Šis izpildāmais fails ir konfigurēts tā, lai palaistu ļaunprātīgu komandu, kas izmanto mshta.exe, lai izgūtu CountLoader 3.2 versiju no attālā servera, nemanāmi uzsākot kompromitēšanu.

Neatlaidība, izmantojot maldināšanu un vides apzināšanos

Lai nodrošinātu ilgtermiņa piekļuvi, ļaunprogrammatūra nodrošina pastāvīgu piekļuvi, izveidojot ieplānotu uzdevumu, kas izskatās pēc likumīga. Tas pieņem nosaukumu “GoogleTaskSystem136.0.7023.12”, kam seko virkne, kas atgādina unikālu identifikatoru. Šis uzdevums ir konfigurēts tā, lai desmit gadus tiktu izpildīts ik pēc 30 minūtēm, izsaucot mshta.exe un nepieciešamības gadījumā izmantojot rezerves domēnu.

Pirms saglabāšanas mehānisma pabeigšanas CountLoader pārbauda sistēmā konkrēta drošības produkta klātbūtni, vaicājot pretvīrusu inventāru, izmantojot Windows pārvaldības instrumentāciju (WMI). Ja rīks tiek atrasts, ielādētājs nemanāmi maina savu izpildes metodi, lai izmantotu cmd.exe /c start /b mshta.exe. Ja nē, tas tieši sazinās ar attālo URL, izmantojot mshta.exe, samazinot berzi un aizdomas.

Paplašinātas iespējas un modulāras funkcijas

Kad CountLoader ir izveidots, tas profilē inficēto resursdatoru un pēc nepieciešamības izgūst papildu vērtumus. Jaunākā versija ievieš jaunu funkcionalitāti, tostarp iespēju izplatīties, izmantojot noņemamus USB diskus, un izpildīt ļaunprātīgu kodu tieši atmiņā, izmantojot mshta.exe vai PowerShell. Tā atbalstītās iespējas ietver:

  • Izpildfailu izgūšana un palaišana no attāliem URL
  • ZIP arhīvu lejupielāde un iegulto Python moduļu vai EXE failu izpilde
  • DLL failu izgūšana un palaišana, izmantojot rundll32.exe
  • MSI pakotņu lejupielāde un instalēšana
  • Noņemot savu ieplānoto uzdevumu, lai samazinātu kriminālistisko pēdu skaitu
  • Detalizētas sistēmas informācijas vākšana un filtrēšana
  • Izplatīšanās, izmantojot noņemamus datu nesējus, izveidojot ļaunprātīgus LNK failus līdzās slēptiem oriģināliem, kas izpilda gan likumīgo failu, gan ļaunprogrammatūru, izmantojot mshta.exe ar Command-and-Control parametriem.
  • Tieša mshta.exe izsaukšana pret uzbrucēja kontrolētiem URL
  • Attālo PowerShell vērtumu pilnīga izpilde atmiņā

Pēdējā lietderīgā slodze: ACR zaglis

Novērotajā uzbrukumu ķēdē CountLoader galu galā piegādāja ACR Stealer — informāciju zogošu ļaunprogrammatūru, kas paredzēta sensitīvu datu izvilkšanai no apdraudētām sistēmām. Šis pēdējais posms pārveido sākotnējo ēsmu, kas saistīta ar pirātisku programmatūru, par pilna mēroga datu zādzības operāciju.

Ko šī kampaņa signalizē aizstāvjiem

Šī operācija demonstrē CountLoader nepārtraukto attīstību un pieaugošo izsmalcinātību. Python interpretētāja ļaunprātīgas izmantošanas, ieplānoto uzdevumu maskēšanas, parakstītu bināro failu ļaunprātīgas izmantošanas un bezfailu, atmiņā esošas izpildes kombinācija atspoguļo plašāku pāreju uz neuzkrītošām ielaušanās metodēm. Aizsargiem kampaņa uzsver proaktīvas uzraudzības, slāņveida drošības kontroles un lietotāju informētības nozīmi, īpaši attiecībā uz neatļautas vai uzlauztas programmatūras lejupielādes riskiem.

Tendences

CPanel konta apturēšanas e-pasta krāpniecība

Pikšķerēšana, Mēstules
Kibernoziedznieki bieži ļaunprātīgi izmanto uzticamus tehniskos terminus un pakalpojumus, lai viņu krāpniecības izskatītos ticamas. cPanel konta apturēšanas e-pasta krāpniecība ir skaidrs šīs taktikas piemērs, kurā tiek izmantota satraucoša valoda, lai piespiestu adresātus rīkoties ātri. Šie e-pasti ir pilnībā krāpnieciski un nav saistīti ar likumīgiem uzņēmumiem, organizācijām vai pakalpojumu...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
30,084
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...