CountLoader-skadevare
Nettsikkerhetsanalytikere har avdekket en ny kampanje for distribusjon av skadelig programvare som misbruker nettsteder som tilbyr piratkopiert programvare for å spre en oppdatert variant av en skjult, modulær laster kjent som CountLoader. Ved å utnytte brukere som søker etter sprukne applikasjoner, får operatørene et første fotfeste som muliggjør skjult tilgang, forsvarsunngåelse og trinnvis levering av ytterligere skadelige verktøy.
Innholdsfortegnelse
CountLoaders rolle i et flertrinnsinnbrudd
I denne kampanjen fungerer CountLoader som den første komponenten i en bredere angrepskjede. Tidligere undersøkelser hadde allerede vist lasterens evne til å distribuere en rekke sekundære nyttelaster, inkludert Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer og PureMiner. Bevis tyder på at CountLoader har blitt aktivt brukt i angrep i den virkelige verden siden minst juni 2025, noe som understreker dens modenhet og fortsatte utvikling.
Fra falske nedlastinger til stille utførelse
Infeksjonssekvensen starter når ofrene prøver å laste ned sprukne versjoner av legitim programvare som Microsoft Word. I stedet for å motta den lovede applikasjonen, blir de omdirigert til et MediaFire-basert ZIP-arkiv. Dette arkivet inneholder to nøkkelelementer: en kryptert ZIP-fil og et Word-dokument som praktisk nok inneholder passordet som trengs for å åpne den.
Inne i det beskyttede arkivet finnes en legitim Python-tolk som har fått nytt navn til Setup.exe. Denne kjørbare filen er konfigurert til å kjøre en ondsinnet kommando som bruker mshta.exe til å hente CountLoader versjon 3.2 fra en ekstern server, og dermed stille starte kompromitteringen.
Utholdenhet gjennom bedrag og miljøbevissthet
For å sikre langsiktig tilgang etablerer skadevaren persistens ved å opprette en planlagt oppgave som er utformet for å se legitim ut. Den bruker navnet «GoogleTaskSystem136.0.7023.12» etterfulgt av en streng som ligner en unik identifikator. Denne oppgaven er konfigurert til å kjøres hvert 30. minutt i et tiår, og kaller mshta.exe og bruker et reservedomene om nødvendig.
Før CountLoader fullfører sin vedvarende mekanisme, sjekker den systemet for tilstedeværelsen av et spesifikt sikkerhetsprodukt ved å spørre antivirusbeholdningen via Windows Management Instrumentation (WMI). Hvis verktøyet oppdages, endrer lasteren subtilt utførelsesmetoden sin til å bruke cmd.exe /c start /b mshta.exe. Hvis ikke, kontakter den den eksterne URL-en direkte ved hjelp av mshta.exe, noe som minimerer friksjon og mistanke.
Utvidende muligheter og modulære funksjoner
Når den er etablert, profilerer CountLoader den infiserte verten og henter ytterligere nyttelaster etter behov. Den nyeste iterasjonen introduserer ny funksjonalitet, inkludert muligheten til å spre seg gjennom flyttbare USB-stasjoner og kjøre skadelig kode direkte i minnet ved hjelp av mshta.exe eller PowerShell. De støttede funksjonene inkluderer:
- Hente og kjøre kjørbare filer fra eksterne URL-er
- Laste ned ZIP-arkiver og kjøre innebygde Python-moduler eller EXE-filer
- Henter DLL-filer og starter dem via rundll32.exe
- Laste ned og installere MSI-pakker
- Fjerner sin egen planlagte oppgave for å redusere rettsmedisinske spor
- Innsamling og utvinning av detaljert systeminformasjon
- Spredning via flyttbare medier ved å opprette ondsinnede LNK-filer sammen med skjulte originaler, som kjører både den legitime filen og skadevaren via mshta.exe med kommando-og-kontroll-parametere
- Direkte påkalling av mshta.exe mot angriperkontrollerte URL-er
- Utfører eksterne PowerShell-nyttelaster utelukkende i minnet
Den endelige nyttelasten: ACR Stealer
I den observerte angrepskjeden leverte CountLoader til slutt ACR Stealer, en informasjonsstjelende skadelig programvare designet for å suge sensitive data fra kompromitterte systemer. Denne siste fasen forvandler en innledende lokkeoperasjon som involverer piratkopiert programvare til en fullskala datatyverioperasjon.
Hva denne kampanjen signaliserer for forsvarere
Denne operasjonen demonstrerer CountLoaders fortsatte utvikling og økende sofistikering. Kombinasjonen av misbruk av Python-tolker, planlagt oppgavemaskering, misbruk av signerte binære koder og filløs utførelse i minnet gjenspeiler et bredere skifte mot mer skjulte inntrengingsteknikker. For forsvarere forsterker kampanjen viktigheten av proaktiv overvåking, lagdelte sikkerhetskontroller og brukerbevissthet, spesielt rundt risikoen ved nedlasting av uautorisert eller sprukket programvare.
