Rabattoffert för flera licenser
Hotdatabas Skadlig programvara CountLoader-skadlig programvara

CountLoader-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:

Cybersäkerhetsanalytiker har avslöjat en ny kampanj för distribution av skadlig kod som missbrukar webbplatser som erbjuder piratkopierad programvara för att sprida en uppdaterad variant av en hemlig, modulär laddare som kallas CountLoader. Genom att utnyttja användare som söker efter knäckta applikationer får operatörerna ett första fotfäste som möjliggör smygande åtkomst, försvarsundangripande och iscensatt leverans av ytterligare skadliga verktyg.

CountLoaders roll i ett flerstegsintrång

I den här kampanjen fungerar CountLoader som den första komponenten i en bredare attackkedja. Tidigare undersökningar hade redan visat laddarens förmåga att använda en rad sekundära nyttolaster, inklusive Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer och PureMiner. Bevis tyder på att CountLoader aktivt har använts i verkliga attacker sedan åtminstone juni 2025, vilket understryker dess mognad och fortsatta utveckling.

Från falska nedladdningar till tyst exekvering

Infektionsförloppet börjar när offren försöker ladda ner spruckna versioner av legitim programvara som Microsoft Word. Istället för att få den utlovade applikationen omdirigeras de till ett MediaFire-hostat ZIP-arkiv. Detta arkiv innehåller två viktiga objekt: en krypterad ZIP-fil och ett Word-dokument som praktiskt nog innehåller lösenordet som behövs för att öppna det.

Inuti det skyddade arkivet finns en legitim Python-tolk som har bytt namn till Setup.exe. Denna körbara fil är konfigurerad för att köra ett skadligt kommando som utnyttjar mshta.exe för att hämta CountLoader version 3.2 från en fjärrserver, vilket i tysthet initierar komprometteringen.

Uthållighet genom bedrägeri och miljömedvetenhet

För att säkerställa långsiktig åtkomst etablerar den skadliga programvaran persistens genom att skapa en schemalagd uppgift som är utformad för att se legitim ut. Den antar namnet 'GoogleTaskSystem136.0.7023.12' följt av en sträng som liknar en unik identifierare. Denna uppgift är konfigurerad att köras var 30:e minut i ett decennium, anropar mshta.exe och förlitar sig på en reservdomän om det behövs.

Innan CountLoader slutför sin persistensmekanism kontrollerar den systemet för närvaron av en specifik säkerhetsprodukt genom att fråga antivirusinventeringen via Windows Management Instrumentation (WMI). Om verktyget upptäcks ändrar laddaren subtilt sin exekveringsmetod för att använda cmd.exe /c start /b mshta.exe. Om inte, kontaktar den direkt den fjärranslutna URL:en med hjälp av mshta.exe, vilket minimerar friktion och misstankar.

Utökade möjligheter och modulära funktioner

När CountLoader väl är etablerad profilerar den den infekterade värden och hämtar ytterligare nyttolaster efter behov. Den senaste versionen introducerar ny funktionalitet, inklusive möjligheten att sprida sig via flyttbara USB-enheter och att köra skadlig kod direkt i minnet med hjälp av mshta.exe eller PowerShell. Dess stödda funktioner inkluderar:

  • Hämta och köra körbara filer från fjärr-URL:er
  • Ladda ner ZIP-arkiv och köra inbäddade Python-moduler eller EXE-filer
  • Hämta DLL-filer och starta dem via rundll32.exe
  • Ladda ner och installera MSI-paket
  • Tar bort sin egen schemalagda uppgift för att minska spår från forensiska kriminaltekniker
  • Insamling och extrahering av detaljerad systeminformation
  • Spridning via flyttbara medier genom att skapa skadliga LNK-filer tillsammans med dolda original, vilka kör både den legitima filen och skadlig programvara via mshta.exe med kommando-och-kontrollparametrar
  • Direkt anrop av mshta.exe mot angriparkontrollerade webbadresser
  • Köra fjärranslutna PowerShell-nyttolaster helt i minnet

Den slutliga nyttolasten: ACR Stealer

I den observerade attackkedjan levererade CountLoader slutligen ACR Stealer, en informationsstöldande skadlig kod utformad för att suga ut känslig data från komprometterade system. Detta sista steg omvandlar en initial lockelse som involverar piratkopierad programvara till en fullskalig datastöldoperation.

Vad denna kampanj signalerar för försvarare

Denna operation visar CountLoaders fortsatta utveckling och växande sofistikering. Kombinationen av missbruk av Python-tolkar, maskering av schemalagda uppgifter, missbruk av signerade binära koder och fillös exekvering i minnet återspeglar ett bredare skifte mot mer smygande intrångstekniker. För försvarare förstärker kampanjen vikten av proaktiv övervakning, säkerhetskontroller i flera lager och användarmedvetenhet, särskilt kring riskerna med att ladda ner obehörig eller hackad programvara.

Trendigt

Mest sedda

Läser in...