Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım CountLoader Kötü Amaçlı Yazılımı

CountLoader Kötü Amaçlı Yazılımı

Mezo'de Kötü amaçlı yazılım'de
Çevir:

Siber güvenlik analistleri, korsan yazılım sunan web sitelerini kötüye kullanarak CountLoader olarak bilinen gizli, modüler bir yükleyici yazılımının güncellenmiş bir varyantını yayan yeni bir kötü amaçlı yazılım dağıtım kampanyasını ortaya çıkardı. Korsan uygulamalar arayan kullanıcıları hedef alarak, saldırganlar gizli erişim, savunma mekanizmalarından kaçınma ve ek kötü amaçlı araçların aşamalı olarak dağıtımını sağlayan ilk dayanağı elde ediyorlar.

Çok Aşamalı Bir Saldırıda CountLoader’ın Rolü

Bu kampanyada CountLoader, daha geniş bir saldırı zincirinin ilk bileşeni olarak işlev görüyor. Daha önceki araştırmalar, yükleyicinin Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer ve PureMiner dahil olmak üzere bir dizi ikincil zararlı yazılımı dağıtma yeteneğini zaten göstermişti. Kanıtlar, CountLoader'ın en az Haziran 2025'ten beri gerçek dünya saldırılarında aktif olarak kullanıldığını ve olgunluğunu ve sürekli gelişimini vurguluyor.

Sahte İndirmelerden Sessiz İnfaza

Bulaşma süreci, kurbanların Microsoft Word gibi yasal yazılımların korsan sürümlerini indirmeye çalışmasıyla başlar. Vaat edilen uygulamayı almak yerine, MediaFire'da barındırılan bir ZIP arşivine yönlendirilirler. Bu arşiv iki önemli öğe içerir: şifrelenmiş bir ZIP dosyası ve onu açmak için gereken şifreyi sağlayan bir Word belgesi.

Korunan arşivin içinde, Setup.exe olarak yeniden adlandırılmış yasal bir Python yorumlayıcısı bulunmaktadır. Bu yürütülebilir dosya, mshta.exe'yi kullanarak uzak bir sunucudan CountLoader sürüm 3.2'yi indiren ve böylece sessizce güvenlik açığını başlatan kötü amaçlı bir komut çalıştırmak üzere yapılandırılmıştır.

Aldatma ve Çevre Bilinci Yoluyla Azim

Uzun süreli erişimi sağlamak için, kötü amaçlı yazılım meşru görünmek üzere tasarlanmış zamanlanmış bir görev oluşturarak kalıcılık sağlar. 'GoogleTaskSystem136.0.7023.12' adını ve ardından benzersiz bir tanımlayıcıya benzeyen bir dizeyi kullanır. Bu görev, on yıl boyunca her 30 dakikada bir çalışacak şekilde yapılandırılmıştır, mshta.exe'yi çağırır ve gerekirse yedek bir etki alanına güvenir.

CountLoader, kalıcılık mekanizmasını tamamlamadan önce, Windows Yönetim Araçları (WMI) aracılığıyla antivirüs envanterini sorgulayarak sistemde belirli bir güvenlik ürününün varlığını kontrol eder. Araç tespit edilirse, yükleyici yürütme yöntemini cmd.exe /c start /b mshta.exe kullanacak şekilde değiştirir. Tespit edilmezse, sürtünmeyi ve şüpheyi en aza indirmek için doğrudan mshta.exe kullanarak uzak URL ile iletişim kurar.

Genişleyen Yetenekler ve Modüler Özellikler

CountLoader kurulduktan sonra, enfekte olmuş ana bilgisayarın profilini çıkarır ve gerektiğinde ek zararlı yazılımlar alır. En son sürüm, çıkarılabilir USB sürücüler aracılığıyla yayılma ve mshta.exe veya PowerShell kullanarak doğrudan bellekte zararlı kod çalıştırma yeteneği de dahil olmak üzere yeni işlevler sunmaktadır. Desteklenen özellikler şunlardır:

  • Uzak URL'lerden çalıştırılabilir dosyaları alma ve çalıştırma
  • ZIP arşivlerini indirmek ve içine gömülü Python modüllerini veya EXE dosyalarını çalıştırmak.
  • DLL dosyalarını indirip rundll32.exe aracılığıyla çalıştırmak.
  • MSI paketlerinin indirilmesi ve yüklenmesi
  • Adli izleri azaltmak için planlanmış kendi görevini kaldırıyor.
  • Ayrıntılı sistem bilgilerinin toplanması ve dışarı aktarılması
  • Kötü amaçlı yazılım, çıkarılabilir medyada, gizli orijinal dosyaların yanında zararlı LNK dosyaları oluşturarak yayılır; bu dosyalar, mshta.exe aracılığıyla Komut ve Kontrol parametreleriyle hem yasal dosyayı hem de zararlı yazılımı çalıştırır.
  • Saldırganın kontrolündeki URL'lere karşı doğrudan mshta.exe'yi çağırmak
  • Uzaktan PowerShell komutlarını tamamen bellekte çalıştırma

Son Yük: ACR Hırsızı

Gözlemlenen saldırı zincirinde, CountLoader nihayetinde ACR Stealer adlı, ele geçirilen sistemlerden hassas verileri çalmak üzere tasarlanmış bir bilgi hırsızlığı kötü amaçlı yazılımını yaydı. Bu son aşama, korsan yazılım içeren ilk tuzağı tam ölçekli bir veri hırsızlığı operasyonuna dönüştürüyor.

Bu kampanya savunucular için ne anlama geliyor?

Bu operasyon, CountLoader'ın sürekli evrimini ve artan karmaşıklığını göstermektedir. Python yorumlayıcısının kötüye kullanımı, zamanlanmış görev gizleme, imzalı ikili dosyaların kötüye kullanımı ve dosyasız, bellek içi yürütme kombinasyonu, daha gizli saldırı tekniklerine doğru daha geniş bir kaymayı yansıtmaktadır. Savunmacılar için bu kampanya, özellikle yetkisiz veya korsan yazılım indirme riskleri konusunda proaktif izlemenin, katmanlı güvenlik kontrollerinin ve kullanıcı farkındalığının önemini pekiştirmektedir.

trend

CPanel Hesap Askıya Alma E-postası Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Siber suçlular, dolandırıcılıklarını inandırıcı göstermek için sıklıkla güvenilir teknik terimleri ve hizmetleri kötüye kullanırlar. cPanel Hesap Askıya Alma E-posta Dolandırıcılığı, alıcıları hızlı hareket etmeye zorlamak için endişe verici bir dil kullanan bu taktiğin açık bir örneğidir. Bu e-postalar tamamen sahtedir ve cPanel veya Microsoft Outlook dahil olmak üzere herhangi bir meşru...

En çok görüntülenen

Yükleniyor...