Škodlivý softvér CountLoader

Analytici kybernetickej bezpečnosti odhalili novú kampaň na distribúciu malvéru, ktorá zneužíva webové stránky ponúkajúce pirátsky softvér na šírenie aktualizovanej varianty skrytého modulárneho zavádzača známeho ako CountLoader. Využívajúc používateľov hľadajúcich cracknuté aplikácie, si operátori získavajú počiatočnú pozíciu, ktorá im umožňuje nenápadný prístup, obchádzanie obrany a postupné dodávanie ďalších škodlivých nástrojov.

Úloha CountLoaderu pri viacstupňovom prieniku

V tejto kampani funguje CountLoader ako prvá zložka v širšom útočnom reťazci. Skoršie vyšetrovania už preukázali schopnosť zavádzača nasadiť celý rad sekundárnych úlohov vrátane Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer a PureMiner. Dôkazy naznačujú, že CountLoader sa aktívne používa v reálnych útokoch minimálne od júna 2025, čo zdôrazňuje jeho vyspelosť a neustály vývoj.

Od falošných sťahovaní k tichému spusteniu

Infekčná sekvencia začína, keď sa obete pokúšajú stiahnuť cracknuté verzie legitímneho softvéru, ako je napríklad Microsoft Word. Namiesto prijatia sľúbenej aplikácie sú presmerované do ZIP archívu hostovaného na MediaFire. Tento archív obsahuje dve kľúčové položky: zašifrovaný ZIP súbor a dokument programu Word, ktorý poskytuje heslo potrebné na jeho otvorenie.

V chránenom archíve sa nachádza legitímny interpret jazyka Python, ktorý bol premenovaný na Setup.exe. Tento spustiteľný súbor je nakonfigurovaný na spustenie škodlivého príkazu, ktorý využíva súbor mshta.exe na načítanie verzie 3.2 softvéru CountLoader zo vzdialeného servera, čím sa potichu spustí útok.

Vytrvalosť prostredníctvom klamstva a uvedomenia si prostredia

Aby sa zabezpečil dlhodobý prístup, malvér zabezpečuje trvalosť vytvorením naplánovanej úlohy, ktorá vyzerá legitímne. Prijme názov „GoogleTaskSystem136.0.7023.12“, za ktorým nasleduje reťazec pripomínajúci jedinečný identifikátor. Táto úloha je nakonfigurovaná tak, aby sa vykonávala každých 30 minút počas desiatich rokov, pričom spúšťa súbor mshta.exe a v prípade potreby sa spolieha na záložnú doménu.

Pred finalizáciou mechanizmu perzistencie CountLoader skontroluje systém na prítomnosť konkrétneho bezpečnostného produktu dotazovaním antivírusového inventára prostredníctvom služby Windows Management Instrumentation (WMI). Ak sa nástroj zistí, zavádzač nenápadne zmení svoju metódu vykonávania tak, aby používal príkaz cmd.exe /c start /b mshta.exe. Ak nie, priamo kontaktuje vzdialenú URL adresu pomocou nástroja mshta.exe, čím minimalizuje trenie a podozrenie.

Rozširujúce sa možnosti a modulárne prvky

Po inštalácii CountLoader profiluje infikovaného hostiteľa a podľa potreby načítava ďalšie užitočné zaťaženie. Najnovšia verzia prináša nové funkcie vrátane možnosti šírenia prostredníctvom vymeniteľných USB diskov a spúšťania škodlivého kódu priamo v pamäti pomocou mshta.exe alebo PowerShellu. Medzi jeho podporované možnosti patria:

• Načítanie a spúšťanie spustiteľných súborov zo vzdialených URL adries
• Sťahovanie ZIP archívov a spúšťanie vložených modulov Pythonu alebo EXE súborov
• Načítanie súborov DLL a ich spustenie pomocou súboru rundll32.exe
• Sťahovanie a inštalácia MSI balíkov
• Odstránenie vlastnej naplánovanej úlohy s cieľom znížiť riziko forenzných stôp
• Zhromažďovanie a exfiltrácia podrobných systémových informácií
• Šírenie prostredníctvom vymeniteľných médií vytváraním škodlivých súborov LNK spolu so skrytými originálmi, ktoré spúšťajú legitímny súbor aj škodlivý softvér prostredníctvom súboru mshta.exe s parametrami Command-and-Control.
• Priame vyvolanie súboru mshta.exe proti URL adresám kontrolovaným útočníkom
• Spúšťanie vzdialených dát PowerShellu výlučne v pamäti

Finálny užitočný náklad: Zlodej ACR

V pozorovanom reťazci útokov CountLoader nakoniec doručil ACR Stealer, malvér na krádež informácií, ktorý je navrhnutý tak, aby odčerpával citlivé údaje z napadnutých systémov. Táto posledná fáza premieňa počiatočnú návnadu zahŕňajúcu pirátsky softvér na rozsiahlu operáciu krádeže údajov.

Čo táto kampaň signalizuje obrancom

Táto operácia demonštruje neustály vývoj a rastúcu sofistikovanosť CountLoaderu. Kombinácia zneužívania interpreta Pythonu, maskovania plánovaných úloh, zneužívania podpísaných binárnych súborov a vykonávania úloh bez súborov v pamäti odráža širší posun smerom k nenápadnejším technikám narušenia bezpečnosti. Pre obrancov kampaň zdôrazňuje dôležitosť proaktívneho monitorovania, viacvrstvových bezpečnostných kontrol a povedomia používateľov, najmä o rizikách sťahovania neoprávneného alebo cracknutého softvéru.