Perisian Hasad CountLoader

Penganalisis keselamatan siber telah mendedahkan kempen pengedaran perisian hasad baharu yang menyalahgunakan laman web yang menawarkan perisian cetak rompak untuk menyebarkan varian terkini pemuat modular rahsia yang dikenali sebagai CountLoader. Dengan memangsa pengguna yang mencari aplikasi yang dipecahkan, pengendali memperoleh kedudukan awal yang membolehkan akses senyap, pengelakan pertahanan dan penghantaran alat berniat jahat tambahan secara berperingkat.

Peranan CountLoader dalam Pencerobohan Berbilang Peringkat

Dalam kempen ini, CountLoader berfungsi sebagai komponen pertama dalam rantaian serangan yang lebih luas. Siasatan terdahulu telah menunjukkan keupayaan loader untuk menggunakan pelbagai muatan sekunder, termasuk Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer dan PureMiner. Bukti menunjukkan bahawa CountLoader telah digunakan secara aktif dalam serangan dunia sebenar sekurang-kurangnya sejak Jun 2025, menggariskan kematangan dan pembangunan berterusannya.

Daripada Muat Turun Palsu kepada Pelaksanaan Senyap

Urutan jangkitan bermula apabila mangsa cuba memuat turun versi perisian sah yang dipecahkan seperti Microsoft Word. Daripada menerima aplikasi yang dijanjikan, mereka dialihkan ke arkib ZIP yang dihoskan oleh MediaFire. Arkib ini mengandungi dua item utama: fail ZIP yang disulitkan dan dokumen Word yang menyediakan kata laluan yang diperlukan untuk membukanya dengan mudah.

Di dalam arkib yang dilindungi terdapat penterjemah Python yang sah yang telah dinamakan semula kepada Setup.exe. Boleh laku ini dikonfigurasikan untuk melancarkan arahan berniat jahat yang memanfaatkan mshta.exe untuk mendapatkan CountLoader versi 3.2 daripada pelayan jauh, sekali gus memulakan pencerobohan secara senyap-senyap.

Kegigihan Melalui Penipuan dan Kesedaran Alam Sekitar

Untuk memastikan akses jangka panjang, perisian hasad ini mewujudkan kegigihan dengan mencipta tugasan berjadual yang direka bentuk agar kelihatan sah. Ia menggunakan nama 'GoogleTaskSystem136.0.7023.12' diikuti dengan rentetan yang menyerupai pengecam unik. Tugasan ini dikonfigurasikan untuk dilaksanakan setiap 30 minit selama sedekad, menggunakan mshta.exe dan bergantung pada domain sandaran jika perlu.

Sebelum memuktamadkan mekanisme persistensinya, CountLoader menyemak sistem untuk kehadiran produk keselamatan tertentu dengan menanyakan inventori antivirus melalui Instrumentasi Pengurusan Windows (WMI). Jika alat tersebut dikesan, pemuat secara halus mengubah kaedah pelaksanaannya untuk menggunakan cmd.exe /c start /b mshta.exe. Jika tidak, ia menghubungi URL jauh secara langsung menggunakan mshta.exe, meminimumkan geseran dan syak wasangka.

Memperluas Keupayaan dan Ciri Modular

Setelah diwujudkan, CountLoader akan memprofilkan hos yang dijangkiti dan mengambil muatan tambahan seperti yang diperlukan. Lelaran terkini memperkenalkan fungsi baharu, termasuk keupayaan untuk merebak melalui pemacu USB boleh tanggal dan melaksanakan kod berniat jahat terus dalam memori menggunakan mshta.exe atau PowerShell. Keupayaan yang disokongnya termasuk:

• Mendapatkan dan menjalankan fail boleh laku daripada URL jauh
• Memuat turun arkib ZIP dan melaksanakan modul Python terbenam atau fail EXE
• Mengambil fail DLL dan melancarkannya melalui rundll32.exe
• Memuat turun dan memasang pakej MSI
• Mengalih keluar tugasan berjadualnya sendiri untuk mengurangkan kesan forensik
• Mengumpul dan mengeluarkan maklumat sistem terperinci
• Menyebarkan melalui media boleh tanggal dengan mencipta fail LNK berniat jahat di samping fail asal tersembunyi, yang melaksanakan kedua-dua fail sah dan perisian hasad melalui mshta.exe dengan parameter Perintah dan Kawalan
• Menggunakan mshta.exe secara langsung terhadap URL yang dikawal oleh penyerang
• Melaksanakan muatan PowerShell jauh sepenuhnya dalam ingatan

Beban Akhir: Pencuri ACR

Dalam rantaian serangan yang diperhatikan, CountLoader akhirnya menghasilkan ACR Stealer, sejenis perisian hasad pencuri maklumat yang direka untuk menyedut data sensitif daripada sistem yang diceroboh. Peringkat terakhir ini mengubah tarikan awal yang melibatkan perisian cetak rompak menjadi operasi kecurian data berskala penuh.

Apa yang Diberikan oleh Kempen Ini kepada Pembela

Operasi ini menunjukkan evolusi berterusan CountLoader dan kecanggihan yang semakin meningkat. Gabungan penyalahgunaan penterjemah Python, penyamaran tugas berjadual, penyalahgunaan binari bertanda dan pelaksanaan tanpa fail dalam memori mencerminkan peralihan yang lebih luas ke arah teknik pencerobohan yang lebih tersembunyi. Bagi pembela, kempen ini memperkukuhkan kepentingan pemantauan proaktif, kawalan keselamatan berlapis dan kesedaran pengguna, terutamanya mengenai risiko memuat turun perisian yang tidak dibenarkan atau dipecahkan.