Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema CountLoader

Zlonamerna programska oprema CountLoader

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

Analitiki za kibernetsko varnost so odkrili novo kampanjo distribucije zlonamerne programske opreme, ki zlorablja spletna mesta, ki ponujajo piratsko programsko opremo, za širjenje posodobljene različice prikritega, modularnega nalagalnika, znanega kot CountLoader. Z izkoriščanjem uporabnikov, ki iščejo razpokane aplikacije, si operaterji pridobijo začetno oporo, ki jim omogoča prikrit dostop, izogibanje obrambi in postopno dostavo dodatnih zlonamernih orodij.

Vloga programa CountLoader pri večstopenjskem vdoru

V tej kampanji CountLoader deluje kot prva komponenta v širši napadalni verigi. Prejšnje preiskave so že pokazale, da nalagalnik lahko namesti vrsto sekundarnih koristnih tovorov, vključno s Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer in PureMiner. Dokazi kažejo, da se CountLoader aktivno uporablja v napadih v resničnem svetu vsaj od junija 2025, kar poudarja njegovo zrelost in nenehen razvoj.

Od lažnih prenosov do tihe izvedbe

Zaporedje okužbe se začne, ko žrtve poskušajo prenesti razpokane različice legitimne programske opreme, kot je Microsoft Word. Namesto da bi prejele obljubljeno aplikacijo, so preusmerjene v ZIP arhiv, ki ga gosti MediaFire. Ta arhiv vsebuje dva ključna elementa: šifrirano ZIP datoteko in Wordov dokument, ki priročno vsebuje geslo, potrebno za njegovo odpiranje.

V zaščitenem arhivu se nahaja legitimni interpreter Pythona, ki je bil preimenovan v Setup.exe. Ta izvedljiva datoteka je konfigurirana za zagon zlonamernega ukaza, ki izkorišča mshta.exe za pridobivanje različice 3.2 programa CountLoader z oddaljenega strežnika in s tem tiho sproži vdor.

Vztrajnost skozi prevaro in ozaveščenost o okolju

Za zagotovitev dolgoročnega dostopa zlonamerna programska oprema vzpostavi obstojnost z ustvarjanjem načrtovane naloge, ki je zasnovana tako, da je videti legitimna. Uporabi ime »GoogleTaskSystem136.0.7023.12«, ki mu sledi niz, ki spominja na enolični identifikator. Ta naloga je konfigurirana tako, da se izvaja vsakih 30 minut desetletje, pri čemer pokliče mshta.exe in se po potrebi zanaša na rezervno domeno.

Preden CountLoader dokonča svoj mehanizem vztrajnosti, preveri sistem za prisotnost določenega varnostnega izdelka tako, da prek orodja Windows Management Instrumentation (WMI) poišče v zalogi protivirusnega programa. Če orodje zazna, nalagalnik subtilno spremeni način izvajanja tako, da uporabi cmd.exe /c start /b mshta.exe. Če ga ne zazna, se z uporabo mshta.exe neposredno poveže z oddaljenim URL-jem, kar zmanjša trenje in sum.

Razširitev zmogljivosti in modularnih funkcij

Ko je CountLoader enkrat vzpostavljen, profilira okuženega gostitelja in po potrebi pridobi dodatne koristne podatke. Najnovejša različica uvaja nove funkcionalnosti, vključno z možnostjo širjenja prek odstranljivih pogonov USB in izvajanja zlonamerne kode neposredno v pomnilniku z uporabo mshta.exe ali PowerShell. Njegove podprte zmogljivosti vključujejo:

  • Pridobivanje in zagon izvedljivih datotek z oddaljenih URL-jev
  • Prenos ZIP arhivov in izvajanje vdelanih Python modulov ali EXE datotek
  • Pridobivanje datotek DLL in njihov zagon prek rundll32.exe
  • Prenos in namestitev MSI paketov
  • Odstranjevanje lastne načrtovane naloge za zmanjšanje forenzičnih sledi
  • Zbiranje in izvlečenje podrobnih sistemskih informacij
  • Širjenje prek odstranljivih medijev z ustvarjanjem zlonamernih datotek LNK skupaj s skritimi originalnimi datotekami, ki prek datoteke mshta.exe s parametri Command-and-Control izvedejo tako legitimno datoteko kot zlonamerno programsko opremo.
  • Neposredno klicanje datoteke mshta.exe proti URL-jem, ki jih nadzoruje napadalec
  • Izvajanje oddaljenih koristnih naklad PowerShell v celoti v pomnilniku

Končni tovor: ACR Stealer

V opazovani verigi napadov je CountLoader na koncu dostavil ACR Stealer, zlonamerno programsko opremo za krajo informacij, zasnovano za izvlečenje občutljivih podatkov iz ogroženih sistemov. Ta zadnja faza spremeni začetno vabo, ki vključuje piratsko programsko opremo, v obsežno operacijo kraje podatkov.

Kaj ta kampanja sporoča zagovornikom

Ta operacija dokazuje nenehen razvoj in naraščajočo prefinjenost programa CountLoader. Kombinacija zlorabe interpreterja Pythona, maskiranja načrtovanih opravil, zlorabe podpisanih binarnih datotek in izvajanja v pomnilniku brez datotek odraža širši premik k prikritejšim tehnikam vdora. Za branilce kampanja poudarja pomen proaktivnega spremljanja, večplastnih varnostnih kontrol in ozaveščenosti uporabnikov, zlasti glede tveganj prenosa nepooblaščene ali razpokane programske opreme.

V trendu

Prevara z e-pošto o blokadi računa cPanel

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci pogosto zlorabljajo zaupanja vredne tehnične izraze in storitve, da bi njihove prevare delovale verodostojno. Prevara z e-pošto o blokiranju računa cPanel je jasen primer te taktike, ki uporablja zaskrbljujoč jezik, da bi prejemnike prisilila k hitremu ukrepanju. Ta e-poštna sporočila so v celoti goljufiva in niso povezana z nobenim legitimnim podjetjem, organizacijo ali...

Najbolj gledan

Nalaganje...