CountLoader ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਇੱਕ ਤਾਜ਼ਾ ਮਾਲਵੇਅਰ ਵੰਡ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਕਾਊਂਟਲੋਡਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਗੁਪਤ, ਮਾਡਿਊਲਰ ਲੋਡਰ ਦੇ ਇੱਕ ਅੱਪਡੇਟ ਕੀਤੇ ਰੂਪ ਨੂੰ ਫੈਲਾਉਣ ਲਈ ਪਾਈਰੇਟਿਡ ਸੌਫਟਵੇਅਰ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨ ਵਾਲੀਆਂ ਵੈਬਸਾਈਟਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਕ੍ਰੈਕਡ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸ਼ਿਕਾਰ ਬਣਾ ਕੇ, ਓਪਰੇਟਰ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਪੈਰ ਪਕੜਦੇ ਹਨ ਜੋ ਚੋਰੀ-ਛਿਪੇ ਪਹੁੰਚ, ਰੱਖਿਆ ਚੋਰੀ, ਅਤੇ ਵਾਧੂ ਖਤਰਨਾਕ ਸਾਧਨਾਂ ਦੀ ਪੜਾਅਵਾਰ ਡਿਲੀਵਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਬਹੁ-ਪੜਾਅ ਵਾਲੀ ਘੁਸਪੈਠ ਵਿੱਚ ਕਾਊਂਟਲੋਡਰ ਦੀ ਭੂਮਿਕਾ

ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ, ਕਾਊਂਟਲੋਡਰ ਇੱਕ ਵਿਸ਼ਾਲ ਹਮਲੇ ਦੀ ਲੜੀ ਵਿੱਚ ਪਹਿਲੇ ਹਿੱਸੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਪਹਿਲਾਂ ਦੀਆਂ ਜਾਂਚਾਂ ਨੇ ਪਹਿਲਾਂ ਹੀ ਲੋਡਰ ਦੀ ਸੈਕੰਡਰੀ ਪੇਲੋਡਾਂ ਦੀ ਇੱਕ ਸ਼੍ਰੇਣੀ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੀ ਯੋਗਤਾ ਦਿਖਾਈ ਸੀ, ਜਿਸ ਵਿੱਚ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ, ਅਡਾਪਟਿਕਸਸੀ2, ਪਿਊਰਐਚਵੀਐਨਸੀ ਆਰਏਟੀ, ਅਮੇਟੇਰਾ ਸਟੀਲਰ, ਅਤੇ ਪਿਊਰਮਾਈਨਰ ਸ਼ਾਮਲ ਹਨ। ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਕਾਊਂਟਲੋਡਰ ਘੱਟੋ-ਘੱਟ ਜੂਨ 2025 ਤੋਂ ਅਸਲ-ਸੰਸਾਰ ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਸਰਗਰਮੀ ਨਾਲ ਵਰਤਿਆ ਜਾ ਰਿਹਾ ਹੈ, ਜੋ ਇਸਦੀ ਪਰਿਪੱਕਤਾ ਅਤੇ ਨਿਰੰਤਰ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਨਕਲੀ ਡਾਊਨਲੋਡ ਤੋਂ ਲੈ ਕੇ ਚੁੱਪ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੱਕ

ਇਨਫੈਕਸ਼ਨ ਦਾ ਕ੍ਰਮ ਉਦੋਂ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਪੀੜਤ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਰਡ ਵਰਗੇ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਦੇ ਕ੍ਰੈਕਡ ਵਰਜਨ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ। ਵਾਅਦਾ ਕੀਤੀ ਗਈ ਐਪਲੀਕੇਸ਼ਨ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਬਜਾਏ, ਉਹਨਾਂ ਨੂੰ ਮੀਡੀਆਫਾਇਰ-ਹੋਸਟਡ ਜ਼ਿਪ ਆਰਕਾਈਵ ਵਿੱਚ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਆਰਕਾਈਵ ਵਿੱਚ ਦੋ ਮੁੱਖ ਚੀਜ਼ਾਂ ਹਨ: ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਜ਼ਿਪ ਫਾਈਲ ਅਤੇ ਇੱਕ ਵਰਡ ਦਸਤਾਵੇਜ਼ ਜੋ ਇਸਨੂੰ ਖੋਲ੍ਹਣ ਲਈ ਲੋੜੀਂਦਾ ਪਾਸਵਰਡ ਸੁਵਿਧਾਜਨਕ ਤੌਰ 'ਤੇ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਸੁਰੱਖਿਅਤ ਪੁਰਾਲੇਖ ਦੇ ਅੰਦਰ ਇੱਕ ਜਾਇਜ਼ ਪਾਈਥਨ ਇੰਟਰਪ੍ਰੇਟਰ ਹੈ ਜਿਸਦਾ ਨਾਮ Setup.exe ਰੱਖਿਆ ਗਿਆ ਹੈ। ਇਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਇੱਕ ਖਤਰਨਾਕ ਕਮਾਂਡ ਲਾਂਚ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ mshta.exe ਨੂੰ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ CountLoader ਸੰਸਕਰਣ 3.2 ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤਦਾ ਹੈ, ਚੁੱਪਚਾਪ ਸਮਝੌਤਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।

ਧੋਖੇ ਰਾਹੀਂ ਦ੍ਰਿੜਤਾ ਅਤੇ ਵਾਤਾਵਰਣ ਜਾਗਰੂਕਤਾ

ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ, ਮਾਲਵੇਅਰ ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਬਣਾ ਕੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਜੋ ਜਾਇਜ਼ ਦਿਖਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ 'GoogleTaskSystem136.0.7023.12' ਨਾਮ ਅਪਣਾਉਂਦਾ ਹੈ ਜਿਸਦੇ ਬਾਅਦ ਇੱਕ ਵਿਲੱਖਣ ਪਛਾਣਕਰਤਾ ਵਰਗੀ ਇੱਕ ਸਤਰ ਆਉਂਦੀ ਹੈ। ਇਹ ਕਾਰਜ ਇੱਕ ਦਹਾਕੇ ਲਈ ਹਰ 30 ਮਿੰਟਾਂ ਵਿੱਚ ਚਲਾਉਣ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ, mshta.exe ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਅਤੇ ਲੋੜ ਪੈਣ 'ਤੇ ਫਾਲਬੈਕ ਡੋਮੇਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ।

ਆਪਣੀ ਸਥਿਰਤਾ ਵਿਧੀ ਨੂੰ ਅੰਤਿਮ ਰੂਪ ਦੇਣ ਤੋਂ ਪਹਿਲਾਂ, ਕਾਊਂਟਲੋਡਰ ਵਿੰਡੋਜ਼ ਮੈਨੇਜਮੈਂਟ ਇੰਸਟਰੂਮੈਂਟੇਸ਼ਨ (WMI) ਰਾਹੀਂ ਐਂਟੀਵਾਇਰਸ ਇਨਵੈਂਟਰੀ ਦੀ ਪੁੱਛਗਿੱਛ ਕਰਕੇ ਇੱਕ ਖਾਸ ਸੁਰੱਖਿਆ ਉਤਪਾਦ ਦੀ ਮੌਜੂਦਗੀ ਲਈ ਸਿਸਟਮ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਟੂਲ ਖੋਜਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਲੋਡਰ cmd.exe /c start /b mshta.exe ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਆਪਣੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਿਧੀ ਨੂੰ ਸੂਖਮਤਾ ਨਾਲ ਬਦਲਦਾ ਹੈ। ਜੇਕਰ ਨਹੀਂ, ਤਾਂ ਇਹ mshta.exe ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਰਿਮੋਟ URL ਨਾਲ ਸਿੱਧਾ ਸੰਪਰਕ ਕਰਦਾ ਹੈ, ਰਗੜ ਅਤੇ ਸ਼ੱਕ ਨੂੰ ਘੱਟ ਕਰਦਾ ਹੈ।

ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਮਾਡਯੂਲਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਵਿਸਤਾਰ

ਇੱਕ ਵਾਰ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਕਾਊਂਟਲੋਡਰ ਸੰਕਰਮਿਤ ਹੋਸਟ ਨੂੰ ਪ੍ਰੋਫਾਈਲ ਕਰਦਾ ਹੈ ਅਤੇ ਲੋੜ ਅਨੁਸਾਰ ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਨਵੀਨਤਮ ਦੁਹਰਾਓ ਨਵੀਂ ਕਾਰਜਸ਼ੀਲਤਾ ਪੇਸ਼ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਹਟਾਉਣਯੋਗ USB ਡਰਾਈਵਾਂ ਰਾਹੀਂ ਫੈਲਣ ਦੀ ਯੋਗਤਾ ਅਤੇ mshta.exe ਜਾਂ PowerShell ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੈਮਰੀ ਵਿੱਚ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਯੋਗਤਾ ਸ਼ਾਮਲ ਹੈ। ਇਸ ਦੀਆਂ ਸਮਰਥਿਤ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਰਿਮੋਟ URL ਤੋਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ
• ZIP ਪੁਰਾਲੇਖਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ ਅਤੇ ਏਮਬੈਡਡ ਪਾਈਥਨ ਮੋਡੀਊਲ ਜਾਂ EXE ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਉਣਾ
• DLL ਫਾਈਲਾਂ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਉਹਨਾਂ ਨੂੰ rundll32.exe ਰਾਹੀਂ ਲਾਂਚ ਕਰਨਾ
• MSI ਪੈਕੇਜ ਡਾਊਨਲੋਡ ਅਤੇ ਇੰਸਟਾਲ ਕਰਨਾ
• ਫੋਰੈਂਸਿਕ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਆਪਣੇ ਖੁਦ ਦੇ ਨਿਰਧਾਰਤ ਕੰਮ ਨੂੰ ਹਟਾਉਣਾ
• ਵਿਸਤ੍ਰਿਤ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ ਅਤੇ ਬਾਹਰ ਕੱਢਣਾ
• ਲੁਕਵੇਂ ਮੂਲ ਦੇ ਨਾਲ ਖਤਰਨਾਕ LNK ਫਾਈਲਾਂ ਬਣਾ ਕੇ ਹਟਾਉਣਯੋਗ ਮੀਡੀਆ ਰਾਹੀਂ ਪ੍ਰਸਾਰ ਕਰਨਾ, ਜੋ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਪੈਰਾਮੀਟਰਾਂ ਨਾਲ mshta.exe ਰਾਹੀਂ ਜਾਇਜ਼ ਫਾਈਲ ਅਤੇ ਮਾਲਵੇਅਰ ਦੋਵਾਂ ਨੂੰ ਚਲਾਉਂਦੀਆਂ ਹਨ।
• ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ URL ਦੇ ਵਿਰੁੱਧ ਸਿੱਧੇ ਤੌਰ 'ਤੇ mshta.exe ਦੀ ਵਰਤੋਂ ਕਰਨਾ
• ਰਿਮੋਟ ਪਾਵਰਸ਼ੈਲ ਪੇਲੋਡਾਂ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਉਣਾ

ਅੰਤਿਮ ਪੇਲੋਡ: ACR ਸਟੀਲਰ

ਦੇਖੇ ਗਏ ਹਮਲੇ ਦੀ ਲੜੀ ਵਿੱਚ, ਕਾਊਂਟਲੋਡਰ ਨੇ ਅੰਤ ਵਿੱਚ ACR ਸਟੀਲਰ ਪ੍ਰਦਾਨ ਕੀਤਾ, ਇੱਕ ਜਾਣਕਾਰੀ-ਚੋਰੀ ਮਾਲਵੇਅਰ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਸਾਈਫਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਅੰਤਮ ਪੜਾਅ ਪਾਈਰੇਟਿਡ ਸੌਫਟਵੇਅਰ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੇ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਲਾਲਚ ਨੂੰ ਇੱਕ ਪੂਰੇ-ਪੈਮਾਨੇ ਦੇ ਡੇਟਾ ਚੋਰੀ ਕਾਰਜ ਵਿੱਚ ਬਦਲ ਦਿੰਦਾ ਹੈ।

ਇਹ ਮੁਹਿੰਮ ਬਚਾਅ ਕਰਨ ਵਾਲਿਆਂ ਲਈ ਕੀ ਸੰਕੇਤ ਦਿੰਦੀ ਹੈ

ਇਹ ਓਪਰੇਸ਼ਨ ਕਾਊਂਟਲੋਡਰ ਦੇ ਨਿਰੰਤਰ ਵਿਕਾਸ ਅਤੇ ਵਧਦੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਪਾਈਥਨ ਦੁਭਾਸ਼ੀਏ ਦੀ ਦੁਰਵਰਤੋਂ, ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਮਾਸਕਰੇਡਿੰਗ, ਦਸਤਖਤ ਕੀਤੇ ਬਾਈਨਰੀ ਦੁਰਵਰਤੋਂ, ਅਤੇ ਫਾਈਲ ਰਹਿਤ, ਇਨ-ਮੈਮੋਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦਾ ਸੁਮੇਲ ਸਟੀਲਥੀਅਰ ਘੁਸਪੈਠ ਤਕਨੀਕਾਂ ਵੱਲ ਇੱਕ ਵਿਸ਼ਾਲ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਡਿਫੈਂਡਰਾਂ ਲਈ, ਮੁਹਿੰਮ ਸਰਗਰਮ ਨਿਗਰਾਨੀ, ਪੱਧਰੀ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ, ਅਤੇ ਉਪਭੋਗਤਾ ਜਾਗਰੂਕਤਾ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ, ਖਾਸ ਕਰਕੇ ਅਣਅਧਿਕਾਰਤ ਜਾਂ ਕ੍ਰੈਕਡ ਸੌਫਟਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੇ ਜੋਖਮਾਂ ਦੇ ਆਲੇ-ਦੁਆਲੇ।