Pesquisadores em cibersegurança identificaram um novo malware loader, batizado de CountLoader, utilizado por grupos russos de ransomware para distribuir ferramentas pós-exploração, como Cobalt Strike, AdaptixC2, e o trojan de acesso remoto PureHVNC RAT.
Segundo a análise da Silent Push, “o CountLoader está sendo empregado tanto como parte do conjunto de ferramentas de Initial Access Brokers (IAB) quanto por afiliados de ransomware ligados aos grupos LockBit, Black Basta e Qilin”.
O malware aparece em três versões distintas: .NET, PowerShell e JavaScript.
A ameaça emergente foi observada em campanhas dirigidas a pessoas na Ucrânia, com iscas de phishing baseadas em PDFs que se passam pela Polícia Nacional da Ucrânia.
Vale destacar que a versão em PowerShell já havia sido identificada pela Kaspersky, que apontou sua disseminação por meio de iscas relacionadas ao DeepSeek, projetadas para enganar usuários e induzi-los à instalação.
De acordo com a empresa russa de segurança, os ataques culminaram na implantação de um backdoor chamado BrowserVenom.
Essa ferramenta pode reconfigurar todas as sessões de navegador para redirecionar o tráfego por meio de um proxy controlado pelos criminosos, o que permite manipular o tráfego da rede e coletar dados da vítima.
A investigação da Silent Push mostra que a versão em JavaScript é a implementação mais robusta do loader.
Ela oferece seis métodos diferentes para download de arquivos, três formas de executar diversos binários maliciosos, além de uma função pré-definida para identificar o dispositivo da vítima a partir de informações do domínio Windows.
O malware também é capaz de coletar dados do sistema e garantir persistência no host criando uma tarefa agendada que se disfarça de atualização do Google para o navegador Chrome.
Ele se conecta a um servidor remoto para receber novos comandos, podendo baixar e executar payloads em formato DLL e MSI utilizando rundll32.exe e msiexec.exe.
Além disso, transmite metadados do sistema e pode excluir a tarefa agendada criada.
Os seis métodos para download envolvem ferramentas legítimas do Windows conhecidas como LOLBins, como curl, PowerShell, MSXML2.XMLHTTP, WinHTTP.WinHttpRequest.5.1, bitsadmin e certutil.exe.
Segundo a Silent Push, “ao usar LOLBins como certutil e bitsadmin, junto com um gerador de comandos PowerShell com criptografia ‘on the fly’, os desenvolvedores do CountLoader demonstram avançado conhecimento do sistema Windows e de desenvolvimento de malware”.
Um aspecto peculiar do CountLoader é o uso da pasta Music do usuário como ponto de armazenamento temporário para seus arquivos maliciosos.
A versão .NET compartilha algumas funções com a versão em JavaScript, mas suporta apenas dois tipos de comando (UpdateType.Zip ou UpdateType.Exe), indicando uma variante mais simples.
A infraestrutura do CountLoader envolve mais de 20 domínios diferentes.
O malware funciona como um canal para implantar Cobalt Strike, AdaptixC2 e PureHVNC RAT.
Este último é um produto comercial criado por um ator de ameaça conhecido como PureCoder.
Vale lembrar que o PureHVNC RAT é uma versão anterior ao PureRAT, também chamado de ResolverRAT.
Campanhas recentes com o PureHVNC RAT utilizam a técnica de engenharia social ClickFix para entrega do malware, atraindo vítimas por meio de falsas ofertas de emprego, segundo a Check Point.
O trojan é instalado por meio de um loader desenvolvido em Rust.
“A vítima é atraída por anúncios falsos de emprego, permitindo a execução de código PowerShell malicioso via a técnica de phishing ClickFix”, explica a empresa de cibersegurança, que ainda relata que o grupo PureCoder usa uma série rotativa de contas no GitHub para hospedar arquivos essenciais para o funcionamento do PureRAT.
Análises dos commits no GitHub revelam que as atividades ocorreram no fuso horário UTC+03:00, comum em países como a Rússia, entre outros.
Essa descoberta soma-se ao trabalho da equipe DomainTools Investigations, que mapeou as conexões dentro do cenário russo de ransomware.
Eles identificaram movimentações entre grupos e o uso compartilhado de ferramentas como AnyDesk e Quick Assist, o que indica sobreposição operacional.
Segundo a DomainTools, “a fidelidade a uma marca entre esses operadores é fraca, sendo o capital humano o principal recurso, e não as variantes específicas de malware.
Os operadores se adaptam às condições do mercado, reorganizam-se após derrubadas e valorizam relações de confiança, escolhendo trabalhar com pessoas que conhecem, independente do nome da organização”.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...