Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware CountLoader Malware

CountLoader Malware

Nga MezoMalware
Përkthe në:

Analistët e sigurisë kibernetike kanë zbuluar një fushatë të re shpërndarjeje të programeve keqdashëse që abuzon me faqet e internetit që ofrojnë softuer të piratuar për të përhapur një variant të përditësuar të një programi të fshehtë dhe modular të njohur si CountLoader. Duke shfrytëzuar përdoruesit që kërkojnë aplikacione të hakuara, operatorët fitojnë një pikëmbështetje fillestare që mundëson akses të fshehtë, shmangie të mbrojtjes dhe shpërndarje të organizuar të mjeteve shtesë keqdashëse.

Roli i CountLoader në një ndërhyrje shumëfazore

Në këtë fushatë, CountLoader funksionon si komponenti i parë në një zinxhir më të gjerë sulmesh. Hetimet e mëparshme kishin treguar tashmë aftësinë e ngarkuesit për të vendosur një gamë ngarkesash dytësore, duke përfshirë Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer dhe PureMiner. Provat sugjerojnë se CountLoader është përdorur në mënyrë aktive në sulme në botën reale që të paktën nga qershori 2025, duke nënvizuar pjekurinë dhe zhvillimin e tij të vazhdueshëm.

Nga Shkarkimet e Rreme te Ekzekutimi i Heshtur

Sekuenca e infeksionit fillon kur viktimat përpiqen të shkarkojnë versione të krisura të softuerëve legjitimë si Microsoft Word. Në vend që të marrin aplikacionin e premtuar, ata ridrejtohen në një arkiv ZIP të hostuar nga MediaFire. Ky arkiv përmban dy artikuj kryesorë: një skedar ZIP të enkriptuar dhe një dokument Word që ofron fjalëkalimin e nevojshëm për ta hapur atë.

Brenda arkivit të mbrojtur ndodhet një interpretues legjitim i Python që është riemëruar në Setup.exe. Ky skedar ekzekutues është konfiguruar për të nisur një komandë keqdashëse që përdor mshta.exe për të nxjerrë versionin 3.2 të CountLoader nga një server i largët, duke e inicuar në heshtje kompromentimin.

Këmbëngulja përmes mashtrimit dhe ndërgjegjësimi për mjedisin

Për të siguruar akses afatgjatë, programi keqdashës krijon qëndrueshmëri duke krijuar një detyrë të planifikuar të projektuar për t'u dukur legjitime. Ai merr emrin 'GoogleTaskSystem136.0.7023.12' i ndjekur nga një varg që i ngjan një identifikuesi unik. Kjo detyrë është konfiguruar të ekzekutohet çdo 30 minuta për një dekadë, duke thirrur mshta.exe dhe duke u mbështetur në një domen rezervë nëse është e nevojshme.

Përpara finalizimit të mekanizmit të tij të qëndrueshmërisë, CountLoader kontrollon sistemin për praninë e një produkti specifik sigurie duke pyetur inventarin e antivirusit përmes Windows Management Instrumentation (WMI). Nëse mjeti zbulohet, ngarkuesi ndryshon në mënyrë delikate metodën e ekzekutimit për të përdorur cmd.exe /c start /b mshta.exe. Nëse jo, ai kontakton drejtpërdrejt me URL-në e largët duke përdorur mshta.exe, duke minimizuar fërkimet dhe dyshimet.

Zgjerimi i Aftësive dhe Karakteristikave Modulare

Pasi të instalohet, CountLoader profilizon hostin e infektuar dhe merr ngarkesa shtesë sipas nevojës. Versioni më i fundit prezanton funksionalitete të reja, duke përfshirë aftësinë për t'u përhapur përmes disqeve USB të lëvizshme dhe për të ekzekutuar kod të dëmshëm direkt në memorie duke përdorur mshta.exe ose PowerShell. Aftësitë e tij të mbështetura përfshijnë:

  • Marrja dhe ekzekutimi i ekzekutuesve nga URL-të e largëta
  • Shkarkimi i arkivave ZIP dhe ekzekutimi i moduleve të integruara Python ose skedarëve EXE
  • Marrja e skedarëve DLL dhe nisja e tyre përmes rundll32.exe
  • Shkarkimi dhe instalimi i paketave MSI
  • Heqja e detyrës së vet të planifikuar për të zvogëluar gjurmët mjeko-ligjore
  • Mbledhja dhe nxjerrja e informacionit të detajuar të sistemit
  • Përhapja përmes mediave të lëvizshme duke krijuar skedarë LNK dashakeq së bashku me skedarët origjinalë të fshehur, të cilët ekzekutojnë si skedarin legjitim ashtu edhe programin dashakeq përmes mshta.exe me parametra Command-and-Control.
  • Thirrja direkte e mshta.exe kundër URL-ve të kontrolluara nga sulmuesi
  • Ekzekutimi i ngarkesave të largëta PowerShell tërësisht në kujtesë

Ngarkesa e Fundit: Vjedhësi i ACR

Në zinxhirin e sulmeve të vëzhguara, CountLoader në fund të fundit dorëzoi ACR Stealer, një program keqdashës që vjedh informacion, i projektuar për të thithur të dhëna të ndjeshme nga sistemet e kompromentuara. Kjo fazë përfundimtare transformon një karrem fillestar që përfshin softuer të piratuar në një operacion të plotë vjedhjeje të dhënash.

Çfarë sinjalizon kjo fushatë për mbrojtësit

Ky operacion demonstron evolucionin e vazhdueshëm dhe sofistikimin në rritje të CountLoader. Kombinimi i abuzimit me interpretuesin Python, maskimit të detyrave të planifikuara, keqpërdorimit të skedarëve binare të nënshkruar dhe ekzekutimit pa skedarë, në memorie, pasqyron një ndryshim më të gjerë drejt teknikave më të fshehta të ndërhyrjes. Për mbrojtësit, fushata përforcon rëndësinë e monitorimit proaktiv, kontrolleve të sigurisë së shtresuar dhe ndërgjegjësimit të përdoruesit, veçanërisht rreth rreziqeve të shkarkimit të softuerëve të paautorizuar ose të hackuar.

Në trend

Mashtrim me email për pezullimin e llogarisë cPanel

Fishing, Spam
Kriminelët kibernetikë shpesh abuzojnë me termat dhe shërbimet teknike të besueshme për t'i bërë mashtrimet e tyre të duken të besueshme. Mashtrimi me email-et e pezullimit të llogarisë cPanel është një shembull i qartë i kësaj taktike, duke përdorur gjuhë alarmuese për t'i bërë presion marrësit që të veprojnë shpejt. Këto email-e janë tërësisht mashtruese dhe nuk janë të lidhura me asnjë...

Më e shikuara

Po ngarkohet...