Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie CountLoader Malware

CountLoader Malware

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Analitycy ds. cyberbezpieczeństwa odkryli nową kampanię dystrybucji złośliwego oprogramowania, która wykorzystuje strony internetowe oferujące pirackie oprogramowanie do rozprzestrzeniania zaktualizowanej wersji ukrytego, modułowego programu ładującego znanego jako CountLoader. Żerując na użytkownikach poszukujących zhakowanych aplikacji, operatorzy uzyskują punkt zaczepienia, który umożliwia im ukryty dostęp, omijanie zabezpieczeń i etapowe dostarczanie dodatkowych złośliwych narzędzi.

Rola CountLoadera w wieloetapowym włamaniu

W tej kampanii CountLoader działa jako pierwszy element szerszego łańcucha ataków. Wcześniejsze badania wykazały już zdolność tego loadera do wdrażania szeregu dodatkowych ładunków, w tym Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer i PureMiner. Dowody wskazują, że CountLoader jest aktywnie wykorzystywany w rzeczywistych atakach co najmniej od czerwca 2025 roku, co podkreśla jego dojrzałość i ciągły rozwój.

Od fałszywych pobrań do cichej egzekucji

Sekwencja infekcji rozpoczyna się, gdy ofiary próbują pobrać zhakowane wersje legalnego oprogramowania, takiego jak Microsoft Word. Zamiast otrzymać obiecaną aplikację, zostają przekierowane do archiwum ZIP hostowanego przez MediaFire. Archiwum to zawiera dwa kluczowe elementy: zaszyfrowany plik ZIP oraz dokument Word, który zawiera hasło potrzebne do jego otwarcia.

W chronionym archiwum znajduje się legalny interpreter Pythona, którego nazwa została zmieniona na Setup.exe. Ten plik wykonywalny jest skonfigurowany do uruchomienia złośliwego polecenia, które wykorzystuje plik mshta.exe do pobrania CountLoader w wersji 3.2 ze zdalnego serwera, dyskretnie inicjując atak.

Wytrwałość poprzez oszustwo i świadomość otoczenia

Aby zapewnić długotrwały dostęp, złośliwe oprogramowanie tworzy trwałe zadanie, tworząc zaplanowane zadanie, które wygląda na legalne. Przyjmuje nazwę „GoogleTaskSystem136.0.7023.12”, po której następuje ciąg znaków przypominający unikalny identyfikator. Zadanie to jest skonfigurowane do wykonywania co 30 minut przez dekadę, wywołując plik mshta.exe i w razie potrzeby korzystając z domeny zapasowej.

Przed sfinalizowaniem mechanizmu trwałości, CountLoader sprawdza system pod kątem obecności określonego produktu zabezpieczającego, wysyłając zapytanie do inwentaryzacji antywirusowej za pośrednictwem Instrumentacji zarządzania systemem Windows (WMI). Jeśli narzędzie zostanie wykryte, moduł ładujący subtelnie modyfikuje metodę wykonywania, używając polecenia cmd.exe /c start /b mshta.exe. W przeciwnym razie kontaktuje się bezpośrednio ze zdalnym adresem URL za pomocą polecenia mshta.exe, minimalizując tarcia i podejrzenia.

Rozszerzające się możliwości i funkcje modułowe

Po utworzeniu konta, CountLoader profiluje zainfekowanego hosta i w razie potrzeby pobiera dodatkowe ładunki. Najnowsza wersja wprowadza nowe funkcje, w tym możliwość rozprzestrzeniania się za pośrednictwem wymiennych dysków USB oraz wykonywania złośliwego kodu bezpośrednio w pamięci za pomocą pliku mshta.exe lub programu PowerShell. Obsługiwane funkcje obejmują:

  • Pobieranie i uruchamianie plików wykonywalnych ze zdalnych adresów URL
  • Pobieranie archiwów ZIP i uruchamianie osadzonych modułów Pythona lub plików EXE
  • Pobieranie plików DLL i uruchamianie ich za pomocą rundll32.exe
  • Pobieranie i instalowanie pakietów MSI
  • Usuwanie własnego zaplanowanego zadania w celu zmniejszenia śladów kryminalistycznych
  • Zbieranie i eksfiltracja szczegółowych informacji systemowych
  • Rozprzestrzenianie się za pośrednictwem nośników wymiennych poprzez tworzenie złośliwych plików LNK obok ukrytych oryginałów, które wykonują zarówno legalny plik, jak i złośliwe oprogramowanie za pośrednictwem mshta.exe z parametrami poleceń i kontroli
  • Bezpośrednie wywoływanie pliku mshta.exe w przypadku adresów URL kontrolowanych przez atakującego
  • Wykonywanie zdalnych ładunków programu PowerShell w całości w pamięci

Ostateczny ładunek: ACR Stealer

W obserwowanym łańcuchu ataków, CountLoader ostatecznie dostarczył ACR Stealer, złośliwe oprogramowanie kradnące informacje, zaprojektowane w celu wykradania poufnych danych z zainfekowanych systemów. Ten ostatni etap przekształca początkową przynętę z pirackim oprogramowaniem w pełnowymiarową operację kradzieży danych.

Co ta kampania oznacza dla obrońców

Ta operacja pokazuje ciągłą ewolucję i rosnące zaawansowanie CountLoadera. Połączenie nadużyć interpretera Pythona, maskowania zaplanowanych zadań, niewłaściwego użycia podpisanych plików binarnych oraz wykonywania bezplikowego w pamięci odzwierciedla szersze przejście w kierunku bardziej dyskretnych technik włamań. Dla obrońców, kampania podkreśla znaczenie proaktywnego monitorowania, wielowarstwowych zabezpieczeń i świadomości użytkowników, zwłaszcza w zakresie ryzyka związanego z pobieraniem nieautoryzowanego lub złamanego oprogramowania.

Popularne

Oszustwo e-mailowe dotyczące zawieszenia konta cPanel

Phishing, Spam
Cyberprzestępcy często nadużywają zaufanych terminów i usług technicznych, aby ich oszustwa wydawały się wiarygodne. Oszustwo e-mailowe z żądaniem zawieszenia konta cPanel jest wyraźnym przykładem tej taktyki, polegającej na użyciu alarmującego języka, aby wymusić na odbiorcach szybkie działanie. Te e-maile są całkowicie fałszywe i nie są powiązane z żadnymi legalnymi firmami, organizacjami ani...

Najczęściej oglądane

Ładowanie...