Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại CountLoader

Phần mềm độc hại CountLoader

Đến năm Mezo năm Phần mềm độc hại
Dịch sang:

Các nhà phân tích an ninh mạng đã phát hiện ra một chiến dịch phát tán phần mềm độc hại mới lợi dụng các trang web cung cấp phần mềm lậu để lan truyền một biến thể được cập nhật của trình tải mô-đun bí mật có tên là CountLoader. Bằng cách nhắm vào người dùng đang tìm kiếm các ứng dụng bẻ khóa, những kẻ điều hành có được chỗ đứng ban đầu cho phép truy cập lén lút, né tránh phòng thủ và phân phối dần các công cụ độc hại khác.

Vai trò của CountLoader trong một cuộc tấn công xâm nhập nhiều giai đoạn

Trong chiến dịch này, CountLoader đóng vai trò là thành phần đầu tiên trong một chuỗi tấn công rộng hơn. Các cuộc điều tra trước đó đã chỉ ra khả năng của trình tải này trong việc triển khai một loạt các phần mềm độc hại phụ, bao gồm Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer và PureMiner. Bằng chứng cho thấy CountLoader đã được sử dụng tích cực trong các cuộc tấn công thực tế ít nhất từ tháng 6 năm 2025, cho thấy mức độ hoàn thiện và sự phát triển liên tục của nó.

Từ tải xuống giả mạo đến hành quyết thầm lặng

Quá trình lây nhiễm bắt đầu khi nạn nhân cố gắng tải xuống các phiên bản bẻ khóa của phần mềm hợp pháp như Microsoft Word. Thay vì nhận được ứng dụng như đã hứa, họ bị chuyển hướng đến một tệp lưu trữ ZIP được lưu trữ trên MediaFire. Tệp lưu trữ này chứa hai mục quan trọng: một tệp ZIP được mã hóa và một tài liệu Word cung cấp mật khẩu cần thiết để mở nó.

Bên trong tệp lưu trữ được bảo vệ là một trình thông dịch Python hợp lệ đã được đổi tên thành Setup.exe. Tệp thực thi này được cấu hình để khởi chạy một lệnh độc hại sử dụng mshta.exe để tải xuống CountLoader phiên bản 3.2 từ máy chủ từ xa, âm thầm khởi động quá trình xâm nhập.

Kiên trì thông qua lừa dối và nhận thức về môi trường

Để đảm bảo khả năng truy cập lâu dài, phần mềm độc hại thiết lập khả năng duy trì hoạt động bằng cách tạo một tác vụ theo lịch trình được thiết kế trông có vẻ hợp pháp. Nó sử dụng tên 'GoogleTaskSystem136.0.7023.12' theo sau là một chuỗi giống với mã định danh duy nhất. Tác vụ này được cấu hình để thực thi cứ 30 phút một lần trong vòng một thập kỷ, gọi mshta.exe và dựa vào một tên miền dự phòng nếu cần.

Trước khi hoàn thiện cơ chế duy trì hoạt động, CountLoader kiểm tra hệ thống xem có sự hiện diện của một sản phẩm bảo mật cụ thể nào không bằng cách truy vấn kho phần mềm chống virus thông qua Windows Management Instrumentation (WMI). Nếu phát hiện thấy công cụ này, trình tải sẽ thay đổi phương thức thực thi một cách tinh tế để sử dụng cmd.exe /c start /b mshta.exe. Nếu không, nó sẽ trực tiếp liên hệ với URL từ xa bằng cách sử dụng mshta.exe, giảm thiểu sự cản trở và nghi ngờ.

Khả năng mở rộng và các tính năng dạng mô-đun

Sau khi được thiết lập, CountLoader sẽ lập hồ sơ máy chủ bị nhiễm và thu thập thêm các payload khi cần thiết. Phiên bản mới nhất giới thiệu các chức năng mới, bao gồm khả năng lây lan qua ổ USB di động và thực thi mã độc trực tiếp trong bộ nhớ bằng mshta.exe hoặc PowerShell. Các khả năng được hỗ trợ bao gồm:

  • Tải xuống và chạy các tệp thực thi từ các URL từ xa.
  • Tải xuống các tệp lưu trữ ZIP và thực thi các mô-đun Python nhúng hoặc các tệp EXE.
  • Tải các tệp DLL và khởi chạy chúng thông qua rundll32.exe.
  • Tải xuống và cài đặt các gói MSI
  • Loại bỏ tác vụ theo lịch trình của chính nó để giảm thiểu dấu vết pháp y.
  • Thu thập và trích xuất thông tin chi tiết về hệ thống.
  • Phần mềm độc hại lây lan qua các thiết bị lưu trữ di động bằng cách tạo ra các tệp LNK độc hại ẩn bên cạnh các tệp gốc, thực thi cả tệp hợp pháp và phần mềm độc hại thông qua mshta.exe với các tham số điều khiển và quản trị.
  • Gọi trực tiếp mshta.exe chống lại các URL do kẻ tấn công kiểm soát.
  • Thực thi các payload PowerShell từ xa hoàn toàn trong bộ nhớ

Tải trọng cuối cùng: ACR Stealer

Trong chuỗi tấn công được quan sát, CountLoader cuối cùng đã phát tán ACR Stealer, một phần mềm độc hại đánh cắp thông tin được thiết kế để hút dữ liệu nhạy cảm từ các hệ thống bị xâm nhập. Giai đoạn cuối cùng này biến mồi nhử ban đầu liên quan đến phần mềm lậu thành một hoạt động đánh cắp dữ liệu quy mô lớn.

Chiến dịch này báo hiệu điều gì cho lực lượng phòng thủ?

Chiến dịch này chứng minh sự phát triển không ngừng và mức độ tinh vi ngày càng tăng của CountLoader. Sự kết hợp giữa việc lạm dụng trình thông dịch Python, giả mạo tác vụ theo lịch trình, sử dụng sai mục đích mã nhị phân đã ký và thực thi trong bộ nhớ mà không cần tệp phản ánh một sự chuyển dịch rộng hơn hướng tới các kỹ thuật xâm nhập lén lút hơn. Đối với các nhà bảo mật, chiến dịch này củng cố tầm quan trọng của việc giám sát chủ động, các lớp kiểm soát bảo mật và nhận thức của người dùng, đặc biệt là về rủi ro khi tải xuống phần mềm trái phép hoặc bị bẻ khóa.

xu hướng

Lừa đảo qua email về việc tài khoản cPanel bị đình chỉ.

Lừa đảo, Thư rác
Tội phạm mạng thường xuyên lợi dụng các thuật ngữ và dịch vụ kỹ thuật đáng tin cậy để làm cho các chiêu trò lừa đảo của chúng trông có vẻ đáng tin. Chiêu trò lừa đảo qua email về việc bị đình chỉ tài khoản cPanel là một ví dụ điển hình, sử dụng ngôn ngữ đáng báo động để gây áp lực buộc người nhận phải hành động nhanh chóng. Những email này hoàn toàn là giả mạo và không liên quan đến bất kỳ công...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
30,084
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...