కౌంట్‌లోడర్ మాల్వేర్

సైబర్ సెక్యూరిటీ విశ్లేషకులు పైరేటెడ్ సాఫ్ట్‌వేర్‌ను అందించే వెబ్‌సైట్‌లను దుర్వినియోగం చేసి, కౌంట్‌లోడర్ అని పిలువబడే రహస్య, మాడ్యులర్ లోడర్ యొక్క నవీకరించబడిన వేరియంట్‌ను వ్యాప్తి చేసే తాజా మాల్వేర్ పంపిణీ ప్రచారాన్ని కనుగొన్నారు. క్రాక్ చేయబడిన అప్లికేషన్‌ల కోసం శోధిస్తున్న వినియోగదారులను వేటాడటం ద్వారా, ఆపరేటర్లు రహస్య యాక్సెస్, రక్షణ ఎగవేత మరియు అదనపు హానికరమైన సాధనాల దశలవారీ డెలివరీని ప్రారంభించే ప్రారంభ పట్టును పొందుతారు.

బహుళ-దశల చొరబాటులో కౌంట్‌లోడర్ పాత్ర

ఈ ప్రచారంలో, కౌంట్‌లోడర్ విస్తృత దాడి గొలుసులో మొదటి భాగంగా పనిచేస్తుంది. కోబాల్ట్ స్ట్రైక్, అడాప్టిక్స్ సి 2, ప్యూర్‌హెచ్‌విఎన్‌సి రాట్, అమటెరా స్టీలర్ మరియు ప్యూర్‌మైనర్ వంటి ద్వితీయ పేలోడ్‌లను మోహరించే లోడర్ సామర్థ్యాన్ని మునుపటి పరిశోధనలు ఇప్పటికే చూపించాయి. కనీసం జూన్ 2025 నుండి వాస్తవ ప్రపంచ దాడులలో కౌంట్‌లోడర్ చురుకుగా ఉపయోగించబడుతుందని ఆధారాలు సూచిస్తున్నాయి, ఇది దాని పరిపక్వత మరియు నిరంతర అభివృద్ధిని నొక్కి చెబుతుంది.

నకిలీ డౌన్‌లోడ్‌ల నుండి నిశ్శబ్ద అమలు వరకు

బాధితులు మైక్రోసాఫ్ట్ వర్డ్ వంటి చట్టబద్ధమైన సాఫ్ట్‌వేర్ యొక్క క్రాక్డ్ వెర్షన్‌లను డౌన్‌లోడ్ చేయడానికి ప్రయత్నించినప్పుడు ఇన్ఫెక్షన్ క్రమం ప్రారంభమవుతుంది. వాగ్దానం చేసిన అప్లికేషన్‌ను స్వీకరించడానికి బదులుగా, వారు మీడియాఫైర్-హోస్ట్ చేసిన జిప్ ఆర్కైవ్‌కు దారి మళ్లించబడతారు. ఈ ఆర్కైవ్‌లో రెండు కీలక అంశాలు ఉన్నాయి: ఎన్‌క్రిప్టెడ్ జిప్ ఫైల్ మరియు దానిని తెరవడానికి అవసరమైన పాస్‌వర్డ్‌ను సౌకర్యవంతంగా అందించే వర్డ్ డాక్యుమెంట్.

రక్షిత ఆర్కైవ్ లోపల Setup.exe గా పేరు మార్చబడిన చట్టబద్ధమైన పైథాన్ ఇంటర్‌ప్రెటర్ ఉంది. ఈ ఎక్జిక్యూటబుల్ mshta.exe ను ఉపయోగించి రిమోట్ సర్వర్ నుండి CountLoader వెర్షన్ 3.2 ను తిరిగి పొందే హానికరమైన ఆదేశాన్ని ప్రారంభించడానికి కాన్ఫిగర్ చేయబడింది, నిశ్శబ్దంగా రాజీని ప్రారంభిస్తుంది.

మోసం మరియు పర్యావరణ అవగాహన ద్వారా పట్టుదల

దీర్ఘకాలిక యాక్సెస్‌ను నిర్ధారించడానికి, మాల్వేర్ చట్టబద్ధంగా కనిపించేలా రూపొందించబడిన షెడ్యూల్ చేయబడిన పనిని సృష్టించడం ద్వారా స్థిరత్వాన్ని ఏర్పరుస్తుంది. ఇది 'GoogleTaskSystem136.0.7023.12' అనే పేరును స్వీకరించి, దాని తర్వాత ఒక ప్రత్యేక ఐడెంటిఫైయర్‌ను పోలి ఉండే స్ట్రింగ్‌ను కలిగి ఉంటుంది. ఈ టాస్క్ దశాబ్దం పాటు ప్రతి 30 నిమిషాలకు అమలు చేయడానికి కాన్ఫిగర్ చేయబడింది, mshta.exeని ప్రేరేపిస్తుంది మరియు అవసరమైతే ఫాల్‌బ్యాక్ డొమైన్‌పై ఆధారపడుతుంది.

దాని స్థిరత్వ యంత్రాంగాన్ని తుది రూపం ఇచ్చే ముందు, కౌంట్‌లోడర్ విండోస్ మేనేజ్‌మెంట్ ఇన్‌స్ట్రుమెంటేషన్ (WMI) ద్వారా యాంటీవైరస్ ఇన్వెంటరీని ప్రశ్నించడం ద్వారా సిస్టమ్‌లో నిర్దిష్ట భద్రతా ఉత్పత్తి ఉనికిని తనిఖీ చేస్తుంది. సాధనం గుర్తించబడితే, లోడర్ దాని అమలు పద్ధతిని cmd.exe /c start /b mshta.exeని ఉపయోగించడానికి సూక్ష్మంగా మారుస్తుంది. లేకపోతే, అది mshta.exeని ఉపయోగించి రిమోట్ URLని నేరుగా సంప్రదిస్తుంది, ఘర్షణ మరియు అనుమానాన్ని తగ్గిస్తుంది.

సామర్థ్యాలు మరియు మాడ్యులర్ లక్షణాలను విస్తరించడం

ఒకసారి స్థాపించబడిన తర్వాత, కౌంట్‌లోడర్ ఇన్ఫెక్ట్ చేయబడిన హోస్ట్‌ను ప్రొఫైల్ చేస్తుంది మరియు అవసరమైన విధంగా అదనపు పేలోడ్‌లను తిరిగి పొందుతుంది. తాజా పునరావృతం కొత్త కార్యాచరణను పరిచయం చేస్తుంది, తొలగించగల USB డ్రైవ్‌ల ద్వారా వ్యాప్తి చెందగల సామర్థ్యం మరియు mshta.exe లేదా PowerShell ఉపయోగించి మెమరీలో నేరుగా హానికరమైన కోడ్‌ను అమలు చేయగల సామర్థ్యంతో సహా. దీని మద్దతు ఉన్న సామర్థ్యాలు:

• రిమోట్ URL ల నుండి ఎక్జిక్యూటబుల్స్‌ను తిరిగి పొందడం మరియు అమలు చేయడం
• ZIP ఆర్కైవ్‌లను డౌన్‌లోడ్ చేయడం మరియు ఎంబెడెడ్ పైథాన్ మాడ్యూల్స్ లేదా EXE ఫైల్‌లను అమలు చేయడం
• rundll32.exe ద్వారా DLL ఫైళ్ళను పొందడం మరియు వాటిని ప్రారంభించడం
• MSI ప్యాకేజీలను డౌన్‌లోడ్ చేయడం మరియు ఇన్‌స్టాల్ చేయడం
• ఫోరెన్సిక్ జాడలను తగ్గించడానికి దాని స్వంత షెడ్యూల్ చేసిన పనిని తొలగించడం
• వివరణాత్మక సిస్టమ్ సమాచారాన్ని సేకరించడం మరియు తొలగించడం
• దాచిన అసలైన వాటితో పాటు హానికరమైన LNK ఫైల్‌లను సృష్టించడం ద్వారా తొలగించగల మీడియా ద్వారా ప్రచారం చేయడం, ఇది కమాండ్-అండ్-కంట్రోల్ పారామితులతో mshta.exe ద్వారా చట్టబద్ధమైన ఫైల్ మరియు మాల్వేర్ రెండింటినీ అమలు చేస్తుంది.
• దాడి చేసేవారి-నియంత్రిత URL లకు వ్యతిరేకంగా mshta.exe ను నేరుగా ప్రారంభించడం
• రిమోట్ పవర్‌షెల్ పేలోడ్‌లను పూర్తిగా మెమరీలో అమలు చేయడం

తుది పేలోడ్: ACR స్టీలర్

గమనించిన దాడి గొలుసులో, కౌంట్‌లోడర్ చివరికి ACR స్టీలర్‌ను అందించింది, ఇది రాజీపడిన వ్యవస్థల నుండి సున్నితమైన డేటాను సైఫన్ చేయడానికి రూపొందించబడిన సమాచార-దొంగిలించే మాల్వేర్. ఈ చివరి దశ పైరేటెడ్ సాఫ్ట్‌వేర్‌తో కూడిన ప్రారంభ ఆకర్షణను పూర్తి స్థాయి డేటా దొంగతనం ఆపరేషన్‌గా మారుస్తుంది.

ఈ ప్రచారం డిఫెండర్లకు ఏమి సూచిస్తుంది

ఈ ఆపరేషన్ కౌంట్‌లోడర్ యొక్క నిరంతర పరిణామం మరియు పెరుగుతున్న అధునాతనతను ప్రదర్శిస్తుంది. పైథాన్ ఇంటర్‌ప్రెటర్ దుర్వినియోగం, షెడ్యూల్ చేయబడిన టాస్క్ మాస్క్వెరేడింగ్, సైన్డ్ బైనరీ దుర్వినియోగం మరియు ఫైల్‌లెస్, ఇన్-మెమరీ అమలు కలయిక స్టీల్తియర్ చొరబాటు పద్ధతుల వైపు విస్తృత మార్పును ప్రతిబింబిస్తుంది. డిఫెండర్ల కోసం, ఈ ప్రచారం ప్రోయాక్టివ్ మానిటరింగ్, లేయర్డ్ సెక్యూరిటీ నియంత్రణలు మరియు వినియోగదారు అవగాహన యొక్క ప్రాముఖ్యతను బలోపేతం చేస్తుంది, ముఖ్యంగా అనధికార లేదా క్రాక్ చేయబడిన సాఫ్ట్‌వేర్‌ను డౌన్‌లోడ్ చేయడం వల్ల కలిగే నష్టాల చుట్టూ.