Malware ng CountLoader

Natuklasan ng mga cybersecurity analyst ang isang bagong kampanya sa pamamahagi ng malware na umaabuso sa mga website na nag-aalok ng pirated na software upang ikalat ang isang na-update na variant ng isang palihim at modular loader na kilala bilang CountLoader. Sa pamamagitan ng pag-atake sa mga user na naghahanap ng mga cracked na application, nakakakuha ang mga operator ng panimulang puwesto na nagbibigay-daan sa palihim na pag-access, pag-iwas sa depensa, at ang unti-unting paghahatid ng mga karagdagang malisyosong tool.

Ang Papel ng CountLoader sa Isang Multi-Stage Intrusion

Sa kampanyang ito, ang CountLoader ang gumaganap bilang unang bahagi sa mas malawak na kadena ng pag-atake. Ipinakita na ng mga naunang imbestigasyon ang kakayahan ng loader na mag-deploy ng iba't ibang pangalawang payload, kabilang ang Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer, at PureMiner. Ipinahihiwatig ng ebidensya na ang CountLoader ay aktibong ginagamit sa mga pag-atake sa totoong mundo simula pa noong Hunyo 2025, na nagbibigay-diin sa kapanahunan at patuloy na pag-unlad nito.

Mula sa mga Pekeng Pag-download Hanggang sa Tahimik na Pagpatupad

Nagsisimula ang pagkakasunod-sunod ng impeksyon kapag tinangka ng mga biktima na mag-download ng mga cracked na bersyon ng lehitimong software tulad ng Microsoft Word. Sa halip na matanggap ang ipinangakong application, ire-redirect sila sa isang ZIP archive na naka-host sa MediaFire. Ang archive na ito ay naglalaman ng dalawang pangunahing bagay: isang naka-encrypt na ZIP file at isang Word document na madaling magbigay ng password na kailangan para mabuksan ito.

Sa loob ng protektadong archive ay isang lehitimong Python interpreter na pinalitan ng pangalan sa Setup.exe. Ang executable na ito ay na-configure upang maglunsad ng isang malisyosong utos na gumagamit ng mshta.exe upang makuha ang CountLoader bersyon 3.2 mula sa isang remote server, na tahimik na nagpapasimula ng kompromiso.

Pagtitiyaga sa Pamamagitan ng Panlilinlang at Kamalayan sa Kapaligiran

Para matiyak ang pangmatagalang pag-access, nagtatatag ang malware ng persistence sa pamamagitan ng paglikha ng isang naka-iskedyul na gawain na idinisenyo upang magmukhang lehitimo. Ginagamit nito ang pangalang 'GoogleTaskSystem136.0.7023.12' na sinusundan ng isang string na kahawig ng isang natatanging identifier. Ang gawaing ito ay naka-configure upang maisagawa bawat 30 minuto sa loob ng isang dekada, na tinatawag ang mshta.exe at umaasa sa isang fallback domain kung kinakailangan.

Bago tapusin ang mekanismo ng persistence nito, sinusuri ng CountLoader ang sistema para sa presensya ng isang partikular na produkto ng seguridad sa pamamagitan ng pagtatanong sa imbentaryo ng antivirus sa pamamagitan ng Windows Management Instrumentation (WMI). Kung matukoy ang tool, banayad na binabago ng loader ang paraan ng pagpapatupad nito upang gamitin ang cmd.exe /c start /b mshta.exe. Kung hindi, direktang nakikipag-ugnayan ito sa remote URL gamit ang mshta.exe, na binabawasan ang alitan at hinala.

Pagpapalawak ng mga Kakayahan at Modular na Tampok

Kapag naitatag na, pino-profile ng CountLoader ang nahawaang host at kinukuha ang mga karagdagang payload kung kinakailangan. Ang pinakabagong bersyon ay nagpapakilala ng mga bagong functionality, kabilang ang kakayahang kumalat sa mga naaalis na USB drive at direktang isagawa ang malisyosong code sa memorya gamit ang mshta.exe o PowerShell. Kabilang sa mga sinusuportahang kakayahan nito ang:

• Pagkuha at pagpapatakbo ng mga executable mula sa mga remote na URL
• Pag-download ng mga ZIP archive at pagpapatupad ng mga naka-embed na Python module o EXE file
• Pagkuha ng mga DLL file at paglulunsad ng mga ito sa pamamagitan ng rundll32.exe
• Pag-download at pag-install ng mga pakete ng MSI
• Pag-aalis ng sarili nitong naka-iskedyul na gawain upang mabawasan ang mga bakas ng forensic
• Pangongolekta at pag-exfiltrate ng detalyadong impormasyon ng sistema
• Pagpapalaganap sa pamamagitan ng naaalis na media sa pamamagitan ng paglikha ng mga malisyosong LNK file kasama ng mga nakatagong orihinal, na nagpapatupad ng parehong lehitimong file at malware sa pamamagitan ng mshta.exe gamit ang mga parameter ng Command-and-Control
• Direktang pagtawag sa mshta.exe laban sa mga URL na kontrolado ng attacker
• Isinasagawa nang buo ang mga remote PowerShell payload sa memorya

Ang Pangwakas na Payload: ACR Stealer

Sa naobserbahang kadena ng pag-atake, sa huli ay inilabas ng CountLoader ang ACR Stealer, isang malware na nagnanakaw ng impormasyon na idinisenyo upang sipsipin ang sensitibong data mula sa mga nakompromisong sistema. Ang huling yugtong ito ay binago ang isang paunang pang-akit na kinasasangkutan ng pirated na software tungo sa isang ganap na operasyon ng pagnanakaw ng data.

Ang Ipinapahiwatig ng Kampanya na Ito para sa mga Tagapagtanggol

Ipinapakita ng operasyong ito ang patuloy na ebolusyon at lumalagong sopistikasyon ng CountLoader. Ang kombinasyon ng pang-aabuso sa Python interpreter, naka-iskedyul na task masquerading, maling paggamit ng signed binary, at fileless, in-memory execution ay sumasalamin sa mas malawak na pagbabago patungo sa mas palihim na mga pamamaraan ng panghihimasok. Para sa mga tagapagtanggol, pinatitibay ng kampanya ang kahalagahan ng proactive monitoring, layered security controls, at kamalayan ng user, lalo na sa mga panganib ng pag-download ng hindi awtorisado o cracked na software.