CountLoader मालवेयर

साइबरसुरक्षा विश्लेषकहरूले एउटा नयाँ मालवेयर वितरण अभियान पत्ता लगाएका छन् जसले काउन्टलोडर भनेर चिनिने गोप्य, मोड्युलर लोडरको अद्यावधिक संस्करण फैलाउन पाइरेटेड सफ्टवेयर प्रदान गर्ने वेबसाइटहरूको दुरुपयोग गर्दछ। क्र्याक गरिएका अनुप्रयोगहरू खोज्ने प्रयोगकर्ताहरूलाई शिकार बनाएर, अपरेटरहरूले प्रारम्भिक पकड प्राप्त गर्छन् जसले गोप्य पहुँच, रक्षा चोरी, र थप दुर्भावनापूर्ण उपकरणहरूको चरणबद्ध डेलिभरीलाई सक्षम बनाउँछ।

बहु-चरणीय घुसपैठमा काउन्टलोडरको भूमिका

यस अभियानमा, काउन्टलोडरले फराकिलो आक्रमण श्रृंखलामा पहिलो घटकको रूपमा कार्य गर्दछ। पहिलेका अनुसन्धानहरूले लोडरको कोबाल्ट स्ट्राइक, एडाप्टिक्ससी२, प्योरएचभीएनसी आरएटी, अमाटेरा स्टीलर, र प्योरमाइनर सहित माध्यमिक पेलोडहरूको दायरा तैनाथ गर्ने क्षमता देखाएको थियो। प्रमाणले सुझाव दिन्छ कि काउन्टलोडर कम्तिमा जुन २०२५ देखि वास्तविक-विश्व आक्रमणहरूमा सक्रिय रूपमा प्रयोग गरिएको छ, जसले यसको परिपक्वता र निरन्तर विकासलाई जोड दिन्छ।

नक्कली डाउनलोड देखि मौन कार्यान्वयन सम्म

संक्रमितहरूले माइक्रोसफ्ट वर्ड जस्ता वैध सफ्टवेयरको क्र्याक संस्करणहरू डाउनलोड गर्ने प्रयास गर्दा संक्रमण क्रम सुरु हुन्छ। प्रतिज्ञा गरिएको अनुप्रयोग प्राप्त गर्नुको सट्टा, तिनीहरूलाई मिडियाफायर-होस्ट गरिएको जिप अभिलेखमा रिडिरेक्ट गरिन्छ। यस अभिलेखमा दुई प्रमुख वस्तुहरू छन्: एउटा इन्क्रिप्टेड जिप फाइल र एउटा वर्ड कागजात जसले यसलाई खोल्न आवश्यक पासवर्ड सुविधाजनक रूपमा आपूर्ति गर्दछ।

संरक्षित अभिलेख भित्र एउटा वैध पाइथन दोभाषे छ जसको नाम Setup.exe राखिएको छ। यो कार्यान्वयनयोग्यलाई दुर्भावनापूर्ण आदेश सुरु गर्न कन्फिगर गरिएको छ जसले mshta.exe लाई रिमोट सर्भरबाट CountLoader संस्करण 3.2 पुन: प्राप्त गर्न प्रयोग गर्दछ, चुपचाप सम्झौता सुरु गर्दछ।

छल र वातावरण जागरूकता मार्फत दृढता

दीर्घकालीन पहुँच सुनिश्चित गर्न, मालवेयरले वैध देखिने गरी डिजाइन गरिएको तालिकाबद्ध कार्य सिर्जना गरेर दृढता स्थापित गर्दछ। यसले 'GoogleTaskSystem136.0.7023.12' नाम अपनाउँछ र त्यसपछि एक अद्वितीय पहिचानकर्ता जस्तो स्ट्रिङ हुन्छ। यो कार्य एक दशकको लागि प्रत्येक ३० मिनेटमा कार्यान्वयन गर्न कन्फिगर गरिएको छ, mshta.exe प्रयोग गर्दै र आवश्यक परेमा फलब्याक डोमेनमा भर पर्दै।

आफ्नो दृढता संयन्त्रलाई अन्तिम रूप दिनु अघि, काउन्टलोडरले विन्डोज म्यानेजमेन्ट इन्स्ट्रुमेन्टेसन (WMI) मार्फत एन्टिभाइरस इन्भेन्टरी क्वेरी गरेर विशिष्ट सुरक्षा उत्पादनको उपस्थितिको लागि प्रणाली जाँच गर्दछ। यदि उपकरण पत्ता लाग्यो भने, लोडरले cmd.exe /c start /b mshta.exe प्रयोग गर्न यसको कार्यान्वयन विधिलाई सूक्ष्म रूपमा परिवर्तन गर्दछ। यदि होइन भने, यसले घर्षण र शंकालाई कम गर्दै, mshta.exe प्रयोग गरेर सिधै रिमोट URL लाई सम्पर्क गर्दछ।

क्षमताहरू र मोड्युलर सुविधाहरू विस्तार गर्दै

एकपटक स्थापित भएपछि, काउन्टलोडरले संक्रमित होस्टलाई प्रोफाइल गर्छ र आवश्यकता अनुसार थप पेलोडहरू पुन: प्राप्त गर्छ। पछिल्लो पुनरावृत्तिले नयाँ कार्यक्षमता प्रस्तुत गर्दछ, जसमा हटाउन सकिने USB ड्राइभहरू मार्फत फैलाउने क्षमता र mshta.exe वा PowerShell प्रयोग गरेर मेमोरीमा सिधै दुर्भावनापूर्ण कोड कार्यान्वयन गर्ने क्षमता समावेश छ। यसको समर्थित क्षमताहरूमा समावेश छन्:

• रिमोट URL हरूबाट कार्यान्वयनयोग्यहरू प्राप्त गर्ने र चलाउने
• ZIP अभिलेखहरू डाउनलोड गर्दै र एम्बेडेड पाइथन मोड्युलहरू वा EXE फाइलहरू कार्यान्वयन गर्दै
• rundll32.exe मार्फत DLL फाइलहरू ल्याउने र सुरु गर्ने
• MSI प्याकेजहरू डाउनलोड र स्थापना गर्दै
• फोरेन्सिक ट्रेसहरू कम गर्न आफ्नै निर्धारित कार्य हटाउने
• विस्तृत प्रणाली जानकारी सङ्कलन र निष्कासन गर्ने
• लुकेका मूल फाइलहरूसँगै दुर्भावनापूर्ण LNK फाइलहरू सिर्जना गरेर हटाउन सकिने मिडिया मार्फत प्रचार गर्ने, जसले कमाण्ड-एन्ड-कन्ट्रोल प्यारामिटरहरू प्रयोग गरेर mshta.exe मार्फत वैध फाइल र मालवेयर दुवै कार्यान्वयन गर्दछ।
• आक्रमणकारी-नियन्त्रित URL हरू विरुद्ध सिधै mshta.exe प्रयोग गर्दै
• रिमोट पावरशेल पेलोडहरू पूर्ण रूपमा मेमोरीमा कार्यान्वयन गर्दै

अन्तिम पेलोड: ACR चोर

अवलोकन गरिएको आक्रमण श्रृंखलामा, काउन्टलोडरले अन्ततः ACR स्टीलर डेलिभर गर्‍यो, जुन सम्झौता गरिएका प्रणालीहरूबाट संवेदनशील डेटा साइफन गर्न डिजाइन गरिएको जानकारी चोरी गर्ने मालवेयर हो। यो अन्तिम चरणले पाइरेटेड सफ्टवेयर समावेश गर्ने प्रारम्भिक प्रलोभनलाई पूर्ण-स्तरीय डेटा चोरी सञ्चालनमा रूपान्तरण गर्दछ।

यो अभियानले रक्षकहरूका लागि के संकेत गर्छ

यो अपरेशनले काउन्टलोडरको निरन्तर विकास र बढ्दो परिष्कारलाई प्रदर्शन गर्दछ। पाइथन दोभाषे दुरुपयोग, अनुसूचित कार्य मास्करेडिङ, हस्ताक्षरित बाइनरी दुरुपयोग, र फाइललेस, इन-मेमोरी कार्यान्वयनको संयोजनले स्टिल्थियर घुसपैठ प्रविधिहरू तर्फ फराकिलो परिवर्तनलाई प्रतिबिम्बित गर्दछ। डिफेन्डरहरूको लागि, अभियानले सक्रिय निगरानी, स्तरित सुरक्षा नियन्त्रणहरू, र प्रयोगकर्ता जागरूकताको महत्त्वलाई बलियो बनाउँछ, विशेष गरी अनधिकृत वा क्र्याक सफ्टवेयर डाउनलोड गर्ने जोखिमहरूको वरिपरि।