CountLoader恶意软件
网络安全分析师发现了一种新的恶意软件传播活动,该活动利用提供盗版软件的网站传播一种名为 CountLoader 的隐蔽模块化加载器的更新变种。攻击者通过诱骗用户搜索破解版应用程序,从而获得初始立足点,进而实现隐蔽访问、绕过防御,并分阶段投放其他恶意工具。
目录
CountLoader 在多阶段入侵中的作用
在此次攻击活动中,CountLoader 是更广泛攻击链中的第一个组件。此前的调查已经表明,该加载器能够部署一系列二级有效载荷,包括 Cobalt Strike、AdaptixC2、PureHVNC RAT、Amatera Stealer 和 PureMiner。有证据表明,CountLoader 至少从 2025 年 6 月起就已被积极用于实际攻击,这凸显了其成熟度和持续发展。
从虚假下载到静默处决
感染过程始于受害者尝试下载破解版的合法软件,例如 Microsoft Word。他们不会收到承诺的应用程序,而是会被重定向到一个托管在 MediaFire 上的 ZIP 压缩包。该压缩包包含两个关键文件:一个加密的 ZIP 文件和一个 Word 文档,该文档恰好提供了打开 ZIP 文件所需的密码。
受保护的压缩包内包含一个合法的 Python 解释器,该解释器已被重命名为 Setup.exe。此可执行文件被配置为启动一个恶意命令,该命令利用 mshta.exe 从远程服务器检索 CountLoader 版本 3.2,从而悄无声息地启动入侵过程。
通过欺骗和环境意识实现坚持
为了确保长期访问,该恶意软件通过创建一个看似合法的计划任务来建立持久性。该任务名称为“GoogleTaskSystem136.0.7023.12”,后跟一个类似唯一标识符的字符串。该任务配置为每30分钟执行一次,持续十年,调用mshta.exe,并在必要时使用备用域。
在最终确定其持久化机制之前,CountLoader 会通过 Windows 管理规范 (WMI) 查询防病毒软件清单,检查系统中是否存在特定的安全产品。如果检测到该工具,加载器会巧妙地改变其执行方式,使用 `cmd.exe /c start /b mshta.exe` 命令。否则,它会直接使用 `mshta.exe` 连接远程 URL,从而最大限度地减少系统摩擦和疑虑。
扩展功能和模块化特性
一旦建立连接,CountLoader 会对受感染主机进行分析,并根据需要检索其他有效载荷。最新版本引入了新功能,包括通过可移动 USB 驱动器传播以及使用 mshta.exe 或 PowerShell 直接在内存中执行恶意代码。其支持的功能包括:
- 从远程 URL 获取并运行可执行文件
- 下载 ZIP 压缩包并执行其中嵌入的 Python 模块或 EXE 文件
- 获取 DLL 文件并通过 rundll32.exe 启动它们
- 下载并安装 MSI 软件包
- 删除自身预定任务以减少取证痕迹
- 收集和提取详细的系统信息
- 通过创建隐藏的原始文件并同时创建恶意 LNK 文件,利用可移动介质传播恶意软件。这些恶意 LNK 文件会通过 mshta.exe 执行合法文件和恶意软件,并带有命令与控制参数。
- 直接针对攻击者控制的URL调用mshta.exe
- 完全在内存中执行远程 PowerShell 有效负载
最终有效载荷:ACR窃取器
在观察到的攻击链中,CountLoader最终投放了ACR Stealer,这是一种旨在从受感染系统中窃取敏感数据的信息窃取恶意软件。这最后阶段将最初利用盗版软件进行的诱饵行动转变为全面的数据窃取行动。
这场运动对捍卫者们发出了什么信号?
此次行动表明 CountLoader 的持续演变和日益精进的技术水平。它结合了滥用 Python 解释器、伪装定时任务、滥用签名二进制文件以及无文件内存执行等手段,反映出入侵技术正朝着更加隐蔽的方向发展。对于防御者而言,此次攻击活动再次强调了主动监控、多层安全控制以及提高用户安全意识的重要性,尤其是在下载未经授权或破解软件的风险方面。
