Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер CountLoader

Злонамерни софтвер CountLoader

До Mezo. у Малваре
Преведи на:

Аналитичари сајбер безбедности открили су нову кампању дистрибуције злонамерног софтвера која злоупотребљава веб странице које нуде пиратски софтвер за ширење ажуриране варијанте прикривеног, модуларног програма за учитавање познатог као CountLoader. Искоришћавајући кориснике који траже крековане апликације, оператери стичу почетно упориште које им омогућава прикривени приступ, избегавање одбране и постепено испоручивање додатних злонамерних алата.

Улога CountLoader-а у вишестепеној интрузији

У овој кампањи, CountLoader функционише као прва компонента у ширем ланцу напада. Раније истраге су већ показале способност програма за учитавање података да распореди низ секундарних корисних оптерећења, укључујући Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer и PureMiner. Докази указују на то да се CountLoader активно користи у нападима у стварном свету најмање од јуна 2025. године, што истиче његову зрелост и континуирани развој.

Од лажних преузимања до тихог извршења

Инфекција почиње када жртве покушају да преузму крековане верзије легитимног софтвера као што је Microsoft Word. Уместо да добију обећану апликацију, преусмеравају се на ZIP архиву коју хостује MediaFire. Ова архива садржи две кључне ставке: шифровану ZIP датотеку и Word документ који практично пружа лозинку потребну за његово отварање.

Унутар заштићене архиве налази се легитимни Пајтон интерпретер који је преименован у Setup.exe. Овај извршни фајл је конфигурисан да покрене злонамерну команду која користи mshta.exe за преузимање CountLoader верзије 3.2 са удаљеног сервера, тихо покрећући компромитовање.

Истрајност кроз обману и свест о окружењу

Да би осигурао дугорочни приступ, злонамерни софтвер успоставља постојаност креирањем заказаног задатка дизајнираног да изгледа легитимно. Усваја име „GoogleTaskSystem136.0.7023.12“ након чега следи стринг који подсећа на јединствени идентификатор. Овај задатак је конфигурисан да се извршава сваких 30 минута током једне деценије, позивајући mshta.exe и ослањајући се на резервни домен ако је потребно.

Пре него што финализује свој механизам перзистентности, CountLoader проверава систем на присуство одређеног безбедносног производа упитом у антивирусни инвентар путем Windows Management Instrumentation (WMI). Ако се алат открије, програм за учитавање суптилно мења свој метод извршавања да би користио cmd.exe /c start /b mshta.exe. Ако не, директно контактира удаљени URL користећи mshta.exe, минимизирајући трење и сумњу.

Проширивање могућности и модуларних карактеристика

Једном када се успостави, CountLoader профилише заражени хост и по потреби преузима додатне корисне податке. Најновија верзија уводи нове функционалности, укључујући могућност ширења путем преносивих USB дискова и извршавања злонамерног кода директно у меморији помоћу mshta.exe или PowerShell-а. Његове подржане могућности укључују:

  • Преузимање и покретање извршних датотека са удаљених URL адреса
  • Преузимање ZIP архива и извршавање уграђених Python модула или EXE датотека
  • Преузимање DLL датотека и њихово покретање путем rundll32.exe
  • Преузимање и инсталирање MSI пакета
  • Уклањање сопственог заказаног задатка ради смањења форензичких трагова
  • Прикупљање и извлачење детаљних системских информација
  • Ширење путем преносивих медија креирањем злонамерних LNK датотека поред скривених оригинала, које извршавају и легитимну датотеку и злонамерни софтвер путем mshta.exe са параметрима Command-and-Control
  • Директно позивање mshta.exe против URL-ова које контролише нападач
  • Извршавање удаљених PowerShell корисних оптерећења у потпуности у меморији

Коначни терет: ACR крадљивац

У посматраном ланцу напада, CountLoader је на крају испоручио ACR Stealer, злонамерни софтвер за крађу информација, дизајниран да преусмери осетљиве податке из компромитованих система. Ова последња фаза трансформише почетни мамац који укључује пиратски софтвер у операцију крађе података у пуном обиму.

Шта ова кампања сигнализира браниоцима

Ова операција демонстрира континуирану еволуцију и растућу софистицираност програма CountLoader. Комбинација злоупотребе интерпретатора Пајтона, маскирања заказаних задатака, злоупотребе потписаних бинарних датотека и извршавања без датотека у меморији одражава шири помак ка прикривенијим техникама упада. За браниоце, кампања појачава важност проактивног праћења, слојевитих безбедносних контрола и свести корисника, посебно о ризицима преузимања неовлашћеног или крекованог софтвера.

У тренду

Превара путем имејла о суспензији cPanel налога

Пецање, Спам
Сајбер криминалци често злоупотребљавају поуздане техничке термине и услуге како би њихове преваре изгледале веродостојно. Превара путем имејла о суспензији cPanel налога је јасан пример ове тактике, користећи узнемирујући језик како би извршили притисак на примаоце да брзо реагују. Ови имејлови су у потпуности лажни и нису повезани ни са једном легитимном компанијом, организацијом или...

Злонамерни софтвер EtherRAT

Алати за удаљену администрацију, Напредна трајна претња (АПТ)
Верује се да недавно откривена кампања претњи повезана са севернокорејским оператерима искоришћава критичну рањивост React2Shell (RSC) за постављање раније невиђеног тројанца за даљински приступ...

Најгледанији

Злонамерних програма

Пецање, Спам
30,084
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...