Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware CountLoader-malware

CountLoader-malware

Tegen Mezo in Malware
Vertalen naar:

Cybersecurity-analisten hebben een nieuwe malwarecampagne ontdekt die websites met illegale software misbruikt om een bijgewerkte variant van een verborgen, modulaire loader genaamd CountLoader te verspreiden. Door gebruikers te misleiden die op zoek zijn naar gekraakte applicaties, verkrijgen de aanvallers een eerste toegangspunt waarmee ze onopvallend toegang kunnen krijgen, beveiligingsmaatregelen kunnen omzeilen en in een gefaseerde fase extra schadelijke software kunnen verspreiden.

De rol van CountLoader bij een meerfasige inbraak

In deze campagne fungeert CountLoader als de eerste component in een bredere aanvalsketen. Eerdere onderzoeken hadden al aangetoond dat de loader in staat is om een reeks secundaire payloads te implementeren, waaronder Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer en PureMiner. Er zijn aanwijzingen dat CountLoader al sinds ten minste juni 2025 actief wordt gebruikt bij daadwerkelijke aanvallen, wat de volwassenheid en voortdurende ontwikkeling ervan onderstreept.

Van nepdownloads tot stille executies

De infectie begint wanneer slachtoffers proberen gekraakte versies van legitieme software, zoals Microsoft Word, te downloaden. In plaats van de beloofde applicatie te ontvangen, worden ze doorgestuurd naar een ZIP-archief dat wordt gehost door MediaFire. Dit archief bevat twee belangrijke elementen: een versleuteld ZIP-bestand en een Word-document dat, heel toevallig, het wachtwoord bevat dat nodig is om het te openen.

In het beveiligde archief bevindt zich een legitieme Python-interpreter die is hernoemd naar Setup.exe. Dit uitvoerbare bestand is geconfigureerd om een kwaadaardige opdracht uit te voeren die mshta.exe gebruikt om CountLoader versie 3.2 van een externe server te downloaden, waarmee de inbreuk stilletjes wordt gestart.

Volharding door middel van misleiding en omgevingsbewustzijn

Om langdurige toegang te garanderen, zorgt de malware voor persistentie door een geplande taak aan te maken die er legitiem uitziet. Deze taak krijgt de naam 'GoogleTaskSystem136.0.7023.12', gevolgd door een tekenreeks die lijkt op een unieke identificatiecode. Deze taak is geconfigureerd om elke 30 minuten gedurende tien jaar te worden uitgevoerd, waarbij mshta.exe wordt aangeroepen en indien nodig gebruik wordt gemaakt van een fallback-domein.

Voordat CountLoader zijn persistentiemechanisme voltooit, controleert het systeem op de aanwezigheid van een specifiek beveiligingsproduct door de antivirusinventaris te raadplegen via Windows Management Instrumentation (WMI). Als de tool wordt gedetecteerd, wijzigt de loader subtiel zijn uitvoeringsmethode naar cmd.exe /c start /b mshta.exe. Zo niet, dan maakt het rechtstreeks verbinding met de externe URL via mshta.exe, waardoor wrijving en argwaan tot een minimum worden beperkt.

Uitbreidbare mogelijkheden en modulaire functies

Eenmaal geïnstalleerd, profileert CountLoader de geïnfecteerde host en haalt zo nodig extra payloads op. De nieuwste versie introduceert nieuwe functionaliteit, waaronder de mogelijkheid om zich te verspreiden via verwijderbare USB-drives en om kwaadaardige code rechtstreeks in het geheugen uit te voeren met behulp van mshta.exe of PowerShell. De ondersteunde mogelijkheden omvatten:

  • Het ophalen en uitvoeren van uitvoerbare bestanden vanaf externe URL's.
  • ZIP-archieven downloaden en ingesloten Python-modules of EXE-bestanden uitvoeren
  • DLL-bestanden ophalen en starten via rundll32.exe
  • MSI-pakketten downloaden en installeren
  • Het verwijderen van de eigen geplande taak om forensische sporen te minimaliseren.
  • Het verzamelen en doorsluizen van gedetailleerde systeeminformatie.
  • De malware verspreidt zich via verwisselbare media door naast de originele bestanden verborgen LNK-bestanden aan te maken, die zowel het legitieme bestand als de malware uitvoeren via mshta.exe met Command-and-Control-parameters.
  • Het rechtstreeks aanroepen van mshta.exe tegen URL's die door de aanvaller worden beheerd.
  • Externe PowerShell-payloads volledig in het geheugen uitvoeren

De laatste lading: ACR-diefstal

In de waargenomen aanvalsketen leverde CountLoader uiteindelijk ACR Stealer af, malware die is ontworpen om gevoelige gegevens van gecompromitteerde systemen te stelen. Deze laatste fase transformeert een aanvankelijke lokroep met illegale software in een grootschalige datadiefstaloperatie.

Wat deze campagne betekent voor verdedigers

Deze operatie demonstreert de voortdurende evolutie en toenemende verfijning van CountLoader. De combinatie van misbruik van de Python-interpreter, het maskeren van geplande taken, misbruik van ondertekende binaire bestanden en bestandsloze, in-memory uitvoering weerspiegelt een bredere verschuiving naar heimelijker inbraaktechnieken. Voor verdedigers benadrukt de campagne het belang van proactieve monitoring, gelaagde beveiligingsmaatregelen en gebruikersbewustzijn, met name met betrekking tot de risico's van het downloaden van ongeautoriseerde of gekraakte software.

Trending

Meest bekeken

Bezig met laden...