Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносная программа CountLoader

Вредоносная программа CountLoader

К Mezo году в Вредоносное ПО году
Перевести на:

Аналитики в области кибербезопасности обнаружили новую кампанию по распространению вредоносного ПО, которая использует веб-сайты, предлагающие пиратское программное обеспечение, для распространения обновленного варианта скрытого модульного загрузчика, известного как CountLoader. Используя пользователей, ищущих взломанные приложения, злоумышленники получают первоначальную точку опоры, что позволяет им скрытно получать доступ, обходить средства защиты и поэтапно доставлять дополнительные вредоносные инструменты.

Роль CountLoader в многоэтапном вторжении

В этой кампании CountLoader выступает в качестве первого компонента в более широкой цепочке атак. Предыдущие расследования уже показали способность этого загрузчика развертывать ряд дополнительных полезных нагрузок, включая Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer и PureMiner. Имеющиеся данные свидетельствуют о том, что CountLoader активно использовался в реальных атаках как минимум с июня 2025 года, что подчеркивает его зрелость и продолжающееся развитие.

От поддельных загрузок до тайной казни

Процесс заражения начинается, когда жертвы пытаются загрузить взломанные версии легитимного программного обеспечения, такого как Microsoft Word. Вместо обещанного приложения они перенаправляются на ZIP-архив, размещенный на MediaFire. Этот архив содержит два ключевых элемента: зашифрованный ZIP-файл и документ Word, в котором удобно указан пароль, необходимый для его открытия.

Внутри защищенного архива находится легитимный интерпретатор Python, переименованный в Setup.exe. Этот исполняемый файл настроен на запуск вредоносной команды, которая использует mshta.exe для получения CountLoader версии 3.2 с удаленного сервера, незаметно инициируя взлом.

Настойчивость посредством обмана и осведомленность об окружающей среде

Для обеспечения долговременного доступа вредоносная программа закрепляется в системе, создавая запланированную задачу, которая выглядит легитимной. Она использует имя «GoogleTaskSystem136.0.7023.12», за которым следует строка, напоминающая уникальный идентификатор. Эта задача настроена на выполнение каждые 30 минут в течение десяти лет, запуская mshta.exe и используя резервный домен при необходимости.

Перед окончательным запуском механизма обеспечения постоянного присутствия, CountLoader проверяет систему на наличие определенного продукта безопасности, запрашивая инвентаризацию антивируса через Windows Management Instrumentation (WMI). Если инструмент обнаружен, загрузчик незаметно изменяет метод выполнения на cmd.exe /c start /b mshta.exe. В противном случае он напрямую связывается с удаленным URL-адресом, используя mshta.exe, сводя к минимуму сложности и подозрения.

Расширение возможностей и модульная структура.

После установления соединения CountLoader анализирует зараженный хост и при необходимости извлекает дополнительные полезные нагрузки. В последней версии добавлена новая функциональность, включая возможность распространения через съемные USB-накопители и выполнения вредоносного кода непосредственно в памяти с помощью mshta.exe или PowerShell. Поддерживаемые возможности включают:

  • Получение и запуск исполняемых файлов с удаленных URL-адресов.
  • Загрузка ZIP-архивов и выполнение встроенных модулей Python или EXE-файлов.
  • Загрузка DLL-файлов и их запуск через rundll32.exe
  • Загрузка и установка пакетов MSI
  • Удаление собственной запланированной задачи для уменьшения количества следов, подлежащих анализу в ходе криминалистического расследования.
  • Сбор и передача подробной системной информации.
  • Распространение через съемные носители путем создания вредоносных LNK-файлов вместе со скрытыми оригиналами, которые запускают как легитимный файл, так и вредоносное ПО через mshta.exe с параметрами управления и контроля.
  • Прямой запуск mshta.exe против URL-адресов, контролируемых злоумышленником.
  • Выполнение удаленных полезных нагрузок PowerShell полностью в оперативной памяти.

Финальный полезный груз: ACR Stealer

В наблюдаемой цепочке атак CountLoader в конечном итоге доставил ACR Stealer, вредоносную программу, предназначенную для кражи информации и извлечения конфиденциальных данных из скомпрометированных систем. На этом заключительном этапе первоначальная приманка в виде пиратского программного обеспечения превращается в полномасштабную операцию по краже данных.

Что эта кампания сигнализирует защитникам?

Эта операция демонстрирует продолжающуюся эволюцию и растущую сложность CountLoader. Сочетание злоупотребления интерпретатором Python, маскировки запланированных задач, неправомерного использования подписанных бинарных файлов и выполнения без файлов в оперативной памяти отражает более широкий сдвиг в сторону более скрытых методов вторжения. Для специалистов по защите эта кампания подчеркивает важность проактивного мониторинга, многоуровневых мер безопасности и осведомленности пользователей, особенно в отношении рисков загрузки несанкционированного или взломанного программного обеспечения.

В тренде

Мошенническое письмо о блокировке аккаунта cPanel

Фишинг, Спам
Киберпреступники часто злоупотребляют известными техническими терминами и сервисами, чтобы придать своим мошенническим схемам правдоподобный вид. Мошенническая схема с электронными письмами о блокировке учетной записи cPanel — яркий пример такой тактики, использующей пугающие формулировки, чтобы заставить получателей действовать быстро. Эти электронные письма являются полностью мошенническими и...

Вредоносная программа EtherRAT

Инструменты удаленного администрирования, Расширенная постоянная угроза (APT)
Недавно обнаруженная мошенническая кампания, связанная с северокорейскими операторами, предположительно использует критическую уязвимость React2Shell (RSC) для развертывания ранее неизвестного...

Наиболее просматриваемые

Загрузка...