Шкідливе програмне забезпечення CountLoader
Аналітики з кібербезпеки виявили нову кампанію розповсюдження шкідливого програмного забезпечення, яка використовує веб-сайти, що пропонують піратське програмне забезпечення, для поширення оновленої версії прихованого модульного завантажувача, відомого як CountLoader. Полюючи на користувачів, які шукають зламані програми, оператори отримують початкову позицію, що дозволяє їм прихований доступ, обхід захисту та поетапне постачання додаткових шкідливих інструментів.
Зміст
Роль CountLoader у багатоетапному вторгненні
У цій кампанії CountLoader функціонує як перший компонент у ширшому ланцюжку атак. Попередні дослідження вже показали здатність завантажувача розгортати низку вторинних корисних навантажень, включаючи Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer та PureMiner. Дані свідчать про те, що CountLoader активно використовується в реальних атаках щонайменше з червня 2025 року, що підкреслює його зрілість та постійний розвиток.
Від фальшивих завантажень до тихого виконання
Процес зараження починається, коли жертви намагаються завантажити зламані версії легітимного програмного забезпечення, такого як Microsoft Word. Замість отримання обіцяної програми їх перенаправляє до ZIP-архіву, розміщеного на MediaFire. Цей архів містить два ключові елементи: зашифрований ZIP-файл і документ Word, який зручно надає пароль, необхідний для його відкриття.
У захищеному архіві знаходиться легітимний інтерпретатор Python, перейменований на Setup.exe. Цей виконуваний файл налаштовано на запуск шкідливої команди, яка використовує mshta.exe для отримання CountLoader версії 3.2 з віддаленого сервера, непомітно ініціюючи компрометацію.
Наполегливість через обман та усвідомлення навколишнього середовища
Щоб забезпечити довгостроковий доступ, шкідливе програмне забезпечення встановлює стійкість, створюючи заплановане завдання, яке виглядає легітимним. Воно приймає назву «GoogleTaskSystem136.0.7023.12», за якою йде рядок, що нагадує унікальний ідентифікатор. Це завдання налаштоване на виконання кожні 30 хвилин протягом десятиліття, викликаючи mshta.exe та покладаючись на резервний домен, якщо це необхідно.
Перш ніж завершити розробку механізму збереження, CountLoader перевіряє систему на наявність певного продукту безпеки, запитуючи антивірусний інвентар через інструментарій керування Windows (WMI). Якщо інструмент виявлено, завантажувач непомітно змінює метод виконання, використовуючи cmd.exe /c start /b mshta.exe. Якщо ні, він безпосередньо зв'язується з віддаленою URL-адресою за допомогою mshta.exe, мінімізуючи тертя та підозри.
Розширення можливостей та модульні функції
Після встановлення CountLoader профілює заражений хост і за потреби отримує додаткові корисні навантаження. Остання версія представляє нові функції, зокрема можливість поширення через знімні USB-накопичувачі та виконання шкідливого коду безпосередньо в пам'яті за допомогою mshta.exe або PowerShell. Підтримувані можливості включають:
- Отримання та запуск виконуваних файлів з віддалених URL-адрес
- Завантаження ZIP-архівів та виконання вбудованих модулів Python або EXE-файлів
- Отримання DLL-файлів та їх запуск через rundll32.exe
- Завантаження та встановлення MSI-пакетів
- Видалення власного запланованого завдання для зменшення слідів судово-медичної експертизи
- Збір та вилучення детальної системної інформації
- Поширення через знімні носії шляхом створення шкідливих LNK-файлів разом із прихованими оригіналами, які запускають як легітимний файл, так і шкідливе програмне забезпечення через mshta.exe з параметрами Command-and-Control.
- Безпосередній виклик mshta.exe для URL-адрес, контрольованих зловмисником
- Виконання віддалених корисних навантажень PowerShell повністю в пам'яті
Фінальне корисне навантаження: Викрадач ACR
У спостережуваному ланцюжку атак CountLoader зрештою розповсюдив ACR Stealer – шкідливе програмне забезпечення для крадіжки інформації, призначене для вилучення конфіденційних даних зі скомпрометованих систем. Цей останній етап перетворює початкову приманку, пов’язану з піратським програмним забезпеченням, на повномасштабну операцію з крадіжки даних.
Що ця кампанія сигналізує захисникам
Ця операція демонструє постійну еволюцію та зростаючу складність CountLoader. Поєднання зловживання інтерпретатором Python, маскування запланованих завдань, неправильного використання підписаних двійкових файлів та виконання без файлів у пам'яті відображає ширший зсув до прихованих методів вторгнення. Для захисників кампанія підкреслює важливість проактивного моніторингу, багаторівневого контролю безпеки та обізнаності користувачів, особливо щодо ризиків завантаження несанкціонованого або зламаного програмного забезпечення.
