Investigadores de ciberseguridad han revelado detalles de una nueva campaña que ha utilizado sitios de distribución de software descifrados como vector de distribución para una nueva versión de un cargador modular y sigiloso conocido como CountLoader.
La campaña «utiliza CountLoader como herramienta inicial en un ataque de varias etapas para acceder, evadir y entregar familias de malware adicionales», dijo el equipo de Cyderes Howler Cell Threat Intelligence. dicho en un análisis.
CountLoader era previamente documentado tanto por Fortinet como por Silent Push, que detalla la capacidad del cargador para impulsar cargas útiles como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer y PureMiner. El cargador ha sido detectado en estado salvaje desde al menos junio de 2025.
La última cadena de ataques comienza cuando usuarios desprevenidos intentan descargar versiones descifradas de software legítimo como Microsoft Word, lo que hace que sean redirigidos a un enlace de MediaFire que aloja un archivo ZIP malicioso, que contiene un archivo ZIP cifrado y un documento de Microsoft Word con la contraseña para abrir el segundo archivo.
Dentro del archivo ZIP hay un intérprete de Python legítimo renombrado («Setup.exe») que se ha configurado para ejecutar un comando malicioso para recuperar CountLoader 3.2 de un servidor remoto usando «mshta.exe».
Para establecer la persistencia, el malware crea una tarea programada que imita a Google utilizando el nombre «GoogleTaskSystem136.0.7023.12» junto con una cadena similar a un identificador. Está configurado para ejecutarse cada 30 minutos durante 10 años invocando «mshta.exe» con un dominio alternativo.
También verifica si la herramienta de seguridad Falcon de CrowdStrike está instalada en el host consultando la lista de antivirus a través del Instrumental de administración de Windows (WMI). Si se detecta el servicio, el comando de persistencia se modifica a «cmd.exe /c start /b mshta.exe
CountLoader está equipado para perfilar el host comprometido y recuperar la carga útil de la siguiente etapa. La versión más reciente del malware agrega capacidades para propagarse a través de unidades USB extraíbles y ejecutar el malware directamente en la memoria a través de «mshta.exe» o PowerShell. La lista completa de funciones compatibles es la siguiente:
- Descargue un ejecutable desde una URL proporcionada y ejecútelo
- Descargue un archivo ZIP desde una URL proporcionada y ejecute un módulo basado en Python o un archivo EXE presente en él.
- Descargue una DLL desde una URL proporcionada y ejecútela a través de «rundll32.exe»
- Descargue un paquete de instalación MSI e instálelo
- Eliminar una tarea programada utilizada por el cargador
- Recopile y extraiga amplia información del sistema.
- Se propaga a través de medios extraíbles mediante la creación de accesos directos maliciosos (LNK) junto a sus homólogos originales ocultos que, cuando se inician, ejecutan el archivo original y ejecutan el malware a través de «mshta.exe» con un parámetro C2.
- Inicie directamente «mshta.exe» en una URL proporcionada
- Ejecutar una carga útil remota de PowerShell en la memoria
En la cadena de ataque observada por Cyderes, la carga útil final desplegada por CountLoader es un ladrón de información conocido como Ladrón de ACRque está equipado para recopilar datos confidenciales de hosts infectados.
«Esta campaña destaca la evolución continua y la mayor sofisticación de CountLoader, lo que refuerza la necesidad de una detección proactiva y estrategias de defensa en capas», dijo Cyderes. «Su capacidad para ofrecer ACR Stealer a través de un proceso de múltiples etapas que comienza desde la manipulación de la biblioteca Python hasta el descomprimido del código shell en memoria destaca una tendencia creciente de abuso de binarios firmados y tácticas de ejecución sin archivos».
YouTube Ghost Network ofrece GachiLoader
La divulgación se produce cuando Check Point reveló detalles de un nuevo cargador de malware JavaScript muy ofuscado denominado GachiLoader que está escrito en Node.js. El malware se distribuye mediante el Red fantasma de YouTubeuna red de cuentas de YouTube comprometidas que se dedican a la distribución de malware.
«Una variante de GachiLoader implementa un malware de segunda etapa, Kidkadi, que implementa una técnica novedosa para la inyección de ejecutables portátiles (PE)», afirman los investigadores de seguridad Sven Rath y Jaromír Hořejší. dicho. «Esta técnica carga una DLL legítima y abusa Manejo de excepciones vectorizadas para reemplazarlo sobre la marcha con una carga útil maliciosa».
Se han marcado hasta 100 vídeos de YouTube como parte de la campaña, acumulando aproximadamente 220.000 visitas. Estos videos se cargaron desde 39 cuentas comprometidas; el primer video data del 22 de diciembre de 2024. Desde entonces, Google eliminó la mayoría de estos videos.
En al menos un caso, GachiLoader ha servido como conducto para el malware ladrón de información Rhadamanthys. Al igual que otros cargadores, GachiLoader se utiliza para implementar cargas útiles adicionales en una máquina infectada, al mismo tiempo que realiza una serie de comprobaciones antianálisis para pasar desapercibido.
También verifica si se está ejecutando en un contexto elevado ejecutando el comando «net session». En caso de que la ejecución falle, intenta iniciarse con privilegios de administrador, lo que, a su vez, activa un Control de cuentas de usuario (UAC) inmediato. Hay muchas posibilidades de que la víctima permita que continúe, ya que es probable que el malware se distribuya a través de instaladores falsos de software popular, como se describe en el caso de CountLoader.
En la última fase, el malware intenta eliminar «SecHealthUI.exe», un proceso asociado con Microsoft defensory configura las exclusiones de Defender para evitar que la solución de seguridad marque cargas maliciosas almacenadas en determinadas carpetas (por ejemplo, C:\Users\, C:\ProgramData\ y C:\Windows\).
Luego, GachiLoader procede a buscar directamente la carga útil final desde una URL remota o emplea otro cargador llamado «kidkadi.node», que luego carga el malware principal abusando de Manejo de excepciones vectorizadas.
«El actor de amenazas detrás de GachiLoader demostró competencia con los componentes internos de Windows y presentó una nueva variación de una técnica conocida», dijo Check Point. «Esto resalta la necesidad de que los investigadores de seguridad se mantengan actualizados con técnicas de malware como las inyecciones de PE y busquen proactivamente nuevas formas en las que los autores de malware intenten evadir la detección».
Fuente