Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware CountLoader

Malware CountLoader

Por Mezo em Malware
Traduzir Para:

Analistas de cibersegurança descobriram uma nova campanha de distribuição de malware que se aproveita de sites que oferecem software pirateado para disseminar uma variante atualizada de um carregador modular e oculto conhecido como CountLoader. Ao atacar usuários que buscam aplicativos crackeados, os operadores obtêm uma vantagem inicial que permite acesso furtivo, evasão de defesas e a distribuição gradual de ferramentas maliciosas adicionais.

O papel do CountLoader em uma intrusão de múltiplos estágios

Nesta campanha, o CountLoader funciona como o primeiro componente em uma cadeia de ataque mais ampla. Investigações anteriores já haviam demonstrado a capacidade do loader de implantar uma variedade de payloads secundários, incluindo Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer e PureMiner. Evidências sugerem que o CountLoader tem sido usado ativamente em ataques reais desde pelo menos junho de 2025, o que demonstra sua maturidade e desenvolvimento contínuo.

De downloads falsos à execução silenciosa

A sequência de infecção começa quando as vítimas tentam baixar versões crackeadas de softwares legítimos, como o Microsoft Word. Em vez de receberem o aplicativo prometido, são redirecionadas para um arquivo ZIP hospedado no MediaFire. Esse arquivo contém dois itens principais: um arquivo ZIP criptografado e um documento do Word que, convenientemente, fornece a senha necessária para abri-lo.

Dentro do arquivo protegido encontra-se um interpretador Python legítimo que foi renomeado para Setup.exe. Este executável está configurado para executar um comando malicioso que utiliza o mshta.exe para obter a versão 3.2 do CountLoader de um servidor remoto, iniciando silenciosamente a invasão.

Persistência por meio do engano e consciência ambiental

Para garantir o acesso a longo prazo, o malware estabelece persistência criando uma tarefa agendada projetada para parecer legítima. Ele adota o nome 'GoogleTaskSystem136.0.7023.12' seguido por uma sequência que se assemelha a um identificador único. Essa tarefa é configurada para ser executada a cada 30 minutos durante uma década, invocando o mshta.exe e utilizando um domínio alternativo, se necessário.

Antes de finalizar seu mecanismo de persistência, o CountLoader verifica a presença de um produto de segurança específico no sistema, consultando o inventário de antivírus por meio do Windows Management Instrumentation (WMI). Se a ferramenta for detectada, o carregador altera sutilmente seu método de execução para usar o comando `cmd.exe /c start /b mshta.exe`. Caso contrário, ele se conecta diretamente à URL remota usando o `mshta.exe`, minimizando atritos e suspeitas.

Ampliação de capacidades e recursos modulares

Uma vez estabelecido, o CountLoader cria um perfil do host infectado e recupera payloads adicionais conforme necessário. A versão mais recente introduz novas funcionalidades, incluindo a capacidade de se propagar por meio de unidades USB removíveis e de executar código malicioso diretamente na memória usando mshta.exe ou PowerShell. Suas funcionalidades suportadas incluem:

  • Recuperar e executar arquivos executáveis a partir de URLs remotas
  • Baixar arquivos ZIP e executar módulos Python incorporados ou arquivos EXE.
  • Obtendo arquivos DLL e executando-os através do rundll32.exe.
  • Baixando e instalando pacotes MSI
  • Remover sua própria tarefa agendada para reduzir os vestígios forenses.
  • Coletar e extrair informações detalhadas do sistema
  • Propaga-se através de mídias removíveis criando arquivos LNK maliciosos juntamente com os originais ocultos, que executam tanto o arquivo legítimo quanto o malware por meio do mshta.exe com parâmetros de comando e controle.
  • Invocar diretamente o mshta.exe contra URLs controladas pelo atacante.
  • Executando payloads remotos do PowerShell inteiramente na memória.

A Carga Final: Ladrão de ACR

Na cadeia de ataque observada, o CountLoader acabou por entregar o ACR Stealer, um malware de roubo de informações projetado para extrair dados confidenciais de sistemas comprometidos. Esta etapa final transforma uma isca inicial envolvendo software pirateado em uma operação de roubo de dados em grande escala.

O que esta campanha sinaliza para os defensores

Esta operação demonstra a contínua evolução e crescente sofisticação do CountLoader. A combinação de abuso do interpretador Python, mascaramento de tarefas agendadas, uso indevido de binários assinados e execução sem arquivo na memória reflete uma mudança mais ampla em direção a técnicas de intrusão mais furtivas. Para os profissionais de segurança, a campanha reforça a importância do monitoramento proativo, controles de segurança em camadas e conscientização do usuário, especialmente em relação aos riscos de baixar softwares não autorizados ou pirateados.

Tendendo

Mais visto

Carregando...