Programe malware CountLoader

Până în Mezo în Programe malware

Tradu in:

Analiștii în domeniul securității cibernetice au descoperit o nouă campanie de distribuire de programe malware care abuzează de site-urile web care oferă software piratat pentru a răspândi o variantă actualizată a unui încărcător modular, ascuns, cunoscut sub numele de CountLoader. Prin exploatarea utilizatorilor care caută aplicații piratate, operatorii obțin un punct de sprijin inițial care permite accesul ascuns, evitarea apărării și livrarea în etape a unor instrumente malițioase suplimentare.

Cuprins

Rolul CountLoader într-o intruziune în mai multe etape

În această campanie, CountLoader funcționează ca prima componentă dintr-un lanț de atac mai larg. Investigațiile anterioare au demonstrat deja capacitatea încărcătorului de a implementa o gamă de sarcini utile secundare, inclusiv Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer și PureMiner. Dovezile sugerează că CountLoader a fost utilizat activ în atacuri din lumea reală cel puțin din iunie 2025, subliniind maturitatea și dezvoltarea sa continuă.

De la descărcări false la execuție silențioasă

Secvența de infectare începe atunci când victimele încearcă să descarce versiuni piratate ale unor programe legitime, cum ar fi Microsoft Word. În loc să primească aplicația promisă, acestea sunt redirecționate către o arhivă ZIP găzduită de MediaFire. Această arhivă conține două elemente cheie: un fișier ZIP criptat și un document Word care furnizează parola necesară pentru a-l deschide.

În interiorul arhivei protejate se află un interpretor Python legitim, redenumit Setup.exe. Acest executabil este configurat să lanseze o comandă rău intenționată care utilizează mshta.exe pentru a recupera CountLoader versiunea 3.2 de pe un server la distanță, inițiind discret compromiterea.

Perseverență prin înșelăciune și conștientizare a mediului

Pentru a asigura accesul pe termen lung, malware-ul stabilește persistența prin crearea unei sarcini programate concepute să pară legitime. Adoptă numele „GoogleTaskSystem136.0.7023.12” urmat de un șir de caractere care seamănă cu un identificator unic. Această sarcină este configurată să se execute la fiecare 30 de minute timp de un deceniu, invocând mshta.exe și bazându-se pe un domeniu de rezervă, dacă este necesar.

Înainte de a finaliza mecanismul său de persistență, CountLoader verifică sistemul pentru prezența unui anumit produs de securitate prin interogarea inventarului antivirus prin intermediul Windows Management Instrumentation (WMI). Dacă instrumentul este detectat, încărcătorul își modifică subtil metoda de execuție pentru a utiliza cmd.exe /c start /b mshta.exe. Dacă nu, contactează direct adresa URL la distanță folosind mshta.exe, reducând la minimum fricțiunile și suspiciunile.

Capacități extinse și caracteristici modulare

Odată configurat, CountLoader profilează gazda infectată și preia sarcini suplimentare, după cum este necesar. Cea mai recentă iterație introduce noi funcționalități, inclusiv capacitatea de a se răspândi prin unități USB amovibile și de a executa cod rău intenționat direct în memorie folosind mshta.exe sau PowerShell. Capacitățile sale acceptate includ:

Preluarea și rularea executabilelor de la adrese URL la distanță
Descărcarea arhivelor ZIP și executarea modulelor Python încorporate sau a fișierelor EXE
Preluarea fișierelor DLL și lansarea lor prin rundll32.exe
Descărcarea și instalarea pachetelor MSI
Eliminarea propriei sarcini programate pentru a reduce urmele criminalistice
Colectarea și extragerea informațiilor detaliate despre sistem
Propagarea prin suporturi amovibile prin crearea de fișiere LNK rău intenționate alături de originale ascunse, care execută atât fișierul legitim, cât și malware-ul prin intermediul fișierului mshta.exe cu parametri Command-and-Control
Invocarea directă a fișierului mshta.exe împotriva URL-urilor controlate de atacatori
Executarea sarcinilor utile PowerShell la distanță în întregime în memorie

Sarcina utilă finală: Furtul ACR

În lanțul de atac observat, CountLoader a produs în cele din urmă ACR Stealer, un malware care fură informații, conceput pentru a sifona date sensibile din sistemele compromise. Această etapă finală transformă o momeală inițială care implică software piratat într-o operațiune de furt de date la scară largă.

Ce semnalează această campanie pentru apărători

Această operațiune demonstrează evoluția continuă și sofisticarea crescândă a CountLoader. Combinația dintre abuzul interpretorului Python, mascarea sarcinilor programate, utilizarea greșită a fișierelor binare semnate și execuția în memorie, fără fișiere, reflectă o trecere mai amplă către tehnici de intruziune mai discrete. Pentru apărători, campania subliniază importanța monitorizării proactive, a controalelor de securitate stratificate și a conștientizării utilizatorilor, în special în ceea ce privește riscurile de descărcare a software-ului neautorizat sau piratat.

Procesorul de plăți de la EnigmaSoft Digital River GmbH Depunerea de faliment nu afectează protecția anti-malware a clienților SpyHunter

Căutare

Schimbați regiunea

Programe malware CountLoader

Rolul CountLoader într-o intruziune în mai multe etape

De la descărcări false la execuție silențioasă

Perseverență prin înșelăciune și conștientizare a mediului

Capacități extinse și caracteristici modulare

Sarcina utilă finală: Furtul ACR

Ce semnalează această campanie pentru apărători

Trimite comentariu

Trending

Înșelătorie prin e-mail de suspendare a contului cPanel

Webmotion.co.in

Programe malware EtherRAT

Cele mai văzute

Programe malware

Înșelătorie prin e-mail „Geek Squad”.

Fuq.com