มัลแวร์ CountLoader

นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญการแพร่กระจายมัลแวร์รูปแบบใหม่ที่ใช้เว็บไซต์ที่นำเสนอซอฟต์แวร์ละเมิดลิขสิทธิ์เพื่อแพร่กระจาย CountLoader ซึ่งเป็นเวอร์ชันที่ได้รับการอัปเดตแล้วของโปรแกรมโหลดแบบโมดูลาร์ที่ซ่อนเร้น โดยการดักจับผู้ใช้ที่กำลังค้นหาแอปพลิเคชันที่ถูกแคร็ก ผู้ดำเนินการจะได้รับจุดเริ่มต้นที่ช่วยให้สามารถเข้าถึงระบบได้อย่างลับๆ หลีกเลี่ยงการป้องกัน และส่งเครื่องมือที่เป็นอันตรายเพิ่มเติมในภายหลัง

บทบาทของ CountLoader ในการโจมตีแบบหลายขั้นตอน

ในแคมเปญนี้ CountLoader ทำหน้าที่เป็นส่วนประกอบแรกในห่วงโซ่การโจมตีที่กว้างขึ้น การตรวจสอบก่อนหน้านี้ได้แสดงให้เห็นถึงความสามารถของตัวโหลดในการติดตั้งเพย์โหลดรองต่างๆ รวมถึง Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer และ PureMiner หลักฐานชี้ให้เห็นว่า CountLoader ถูกนำไปใช้ในการโจมตีในโลกแห่งความเป็นจริงมาตั้งแต่เดือนมิถุนายน 2025 เป็นอย่างน้อย ซึ่งเน้นย้ำถึงความสมบูรณ์และพัฒนาการอย่างต่อเนื่องของมัน

จากการดาวน์โหลดปลอมไปจนถึงการประหารชีวิตแบบเงียบๆ

ลำดับการติดไวรัสเริ่มต้นเมื่อเหยื่อพยายามดาวน์โหลดซอฟต์แวร์เวอร์ชันที่ถูกดัดแปลง เช่น Microsoft Word แทนที่จะได้รับแอปพลิเคชันตามที่สัญญาไว้ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังไฟล์ ZIP ที่โฮสต์โดย MediaFire ไฟล์ ZIP นี้ประกอบด้วยสองรายการสำคัญ ได้แก่ ไฟล์ ZIP ที่เข้ารหัส และเอกสาร Word ที่มีรหัสผ่านที่จำเป็นสำหรับการเปิดไฟล์นั้น

ภายในไฟล์เก็บถาวรที่ได้รับการปกป้องนั้น มีตัวแปลภาษา Python ที่ถูกต้องตามกฎหมาย ซึ่งถูกเปลี่ยนชื่อเป็น Setup.exe ไฟล์ปฏิบัติการนี้ถูกกำหนดค่าให้เรียกใช้คำสั่งที่เป็นอันตราย ซึ่งใช้ประโยชน์จาก mshta.exe เพื่อดึง CountLoader เวอร์ชัน 3.2 จากเซิร์ฟเวอร์ระยะไกล และเริ่มต้นการโจมตีอย่างเงียบๆ

ความเพียรพยายามผ่านการหลอกลวงและการตระหนักถึงสภาพแวดล้อม

เพื่อให้สามารถเข้าถึงได้ในระยะยาว มัลแวร์จะสร้างความคงอยู่โดยการสร้างงานที่กำหนดเวลาไว้ซึ่งออกแบบมาให้ดูเหมือนถูกต้องตามกฎหมาย โดยใช้ชื่อว่า 'GoogleTaskSystem136.0.7023.12' ตามด้วยสตริงที่คล้ายกับตัวระบุเฉพาะ งานนี้ถูกตั้งค่าให้ทำงานทุกๆ 30 นาทีเป็นเวลาหนึ่งทศวรรษ โดยเรียกใช้ mshta.exe และใช้โดเมนสำรองหากจำเป็น

ก่อนที่จะสรุปกลไกการทำงานแบบถาวร CountLoader จะตรวจสอบระบบเพื่อหาการมีอยู่ของผลิตภัณฑ์รักษาความปลอดภัยเฉพาะโดยการสอบถามรายการโปรแกรมป้องกันไวรัสผ่าน Windows Management Instrumentation (WMI) หากตรวจพบเครื่องมือดังกล่าว ตัวโหลดจะเปลี่ยนวิธีการทำงานอย่างแนบเนียนไปใช้คำสั่ง cmd.exe /c start /b mshta.exe หากไม่พบ เครื่องมือจะติดต่อ URL ระยะไกลโดยตรงโดยใช้ mshta.exe ซึ่งช่วยลดความยุ่งยากและความสงสัยให้น้อยที่สุด

การขยายขีดความสามารถและคุณสมบัติแบบโมดูลาร์

เมื่อติดตั้งเสร็จแล้ว CountLoader จะทำการตรวจสอบโฮสต์ที่ติดไวรัสและดึงเพย์โหลดเพิ่มเติมตามที่ต้องการ เวอร์ชันล่าสุดได้เพิ่มฟังก์ชันใหม่ ๆ รวมถึงความสามารถในการแพร่กระจายผ่านไดรฟ์ USB แบบถอดได้ และการเรียกใช้โค้ดที่เป็นอันตรายโดยตรงในหน่วยความจำโดยใช้ mshta.exe หรือ PowerShell ความสามารถที่รองรับได้แก่:

• การดึงและเรียกใช้ไฟล์ปฏิบัติการจาก URL ระยะไกล
• การดาวน์โหลดไฟล์ ZIP และการเรียกใช้โมดูล Python หรือไฟล์ EXE ที่ฝังอยู่ภายใน
• ดึงไฟล์ DLL และเรียกใช้งานผ่าน rundll32.exe
• การดาวน์โหลดและติดตั้งแพ็กเกจ MSI
• ลบงานที่กำหนดไว้ล่วงหน้าเพื่อลดร่องรอยทางนิติวิทยาศาสตร์
• การรวบรวมและส่งออกข้อมูลระบบโดยละเอียด
• การแพร่กระจายผ่านสื่อบันทึกข้อมูลแบบถอดได้ โดยการสร้างไฟล์ LNK ที่เป็นอันตรายควบคู่ไปกับไฟล์ต้นฉบับที่ซ่อนอยู่ ซึ่งไฟล์ต้นฉบับและไฟล์มัลแวร์จะถูกเรียกใช้งานผ่าน mshta.exe ด้วยพารามิเตอร์คำสั่งและการควบคุม
• การเรียกใช้ mshta.exe โดยตรงกับ URL ที่ผู้โจมตีควบคุมอยู่
• ดำเนินการเรียกใช้คำสั่ง PowerShell จากระยะไกลทั้งหมดในหน่วยความจำ

ภารกิจสุดท้าย: ACR Stealer

ในลำดับการโจมตีที่สังเกตได้ CountLoader ส่งมอบ ACR Stealer ในท้ายที่สุด ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่ออกแบบมาเพื่อดูดข้อมูลสำคัญจากระบบที่ถูกบุกรุก ขั้นตอนสุดท้ายนี้เปลี่ยนการล่อลวงเบื้องต้นที่เกี่ยวข้องกับซอฟต์แวร์ละเมิดลิขสิทธิ์ให้กลายเป็นปฏิบัติการขโมยข้อมูลเต็มรูปแบบ

แคมเปญนี้ส่งสัญญาณอะไรให้เหล่าผู้พิทักษ์ความยุติธรรมบ้าง

ปฏิบัติการนี้แสดงให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องและความซับซ้อนที่เพิ่มขึ้นของ CountLoader การผสมผสานระหว่างการใช้ตัวแปลภาษา Python ในทางที่ผิด การปลอมแปลงงานที่กำหนดเวลาไว้ การใช้ไบนารีที่ลงนามในทางที่ผิด และการทำงานแบบไร้ไฟล์ในหน่วยความจำ สะท้อนให้เห็นถึงการเปลี่ยนแปลงที่กว้างขึ้นไปสู่เทคนิคการบุกรุกที่แนบเนียนยิ่งขึ้น สำหรับฝ่ายป้องกัน ปฏิบัติการนี้ตอกย้ำความสำคัญของการตรวจสอบเชิงรุก การควบคุมความปลอดภัยหลายชั้น และการตระหนักรู้ของผู้ใช้ โดยเฉพาะอย่างยิ่งเกี่ยวกับความเสี่ยงในการดาวน์โหลดซอฟต์แวร์ที่ไม่ได้รับอนุญาตหรือซอฟต์แวร์ที่ถูกแคร็ก