Pesquisadores de cibersegurança divulgaram detalhes de uma nova campanha que utiliza sites de distribuição de software crackeado como vetor para um loader modular e furtivo chamado CountLoader.
Segundo a equipe de Threat Intelligence Cyderes Howler Cell, essa campanha emprega o CountLoader como ferramenta inicial em um ataque multietapas, responsável pelo acesso ao sistema, evasão de defesas e entrega de diferentes famílias de malware.
O CountLoader já foi documentado anteriormente pela Fortinet e Silent Push, que destacaram sua capacidade de distribuir payloads como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer e PureMiner.
O loader vem sendo detectado em ambientes reais desde pelo menos junho de 2025.
A cadeia de ataque começa quando usuários desavisados tentam baixar versões crackeadas de softwares legítimos, como o Microsoft Word.
Eles são redirecionados para um link no MediaFire que hospeda um arquivo ZIP malicioso.
Esse arquivo contém um segundo ZIP criptografado e um documento do Word com a senha para abri-lo.
Dentro do arquivo ZIP está um interpretador legítimo do Python renomeado como "Setup.exe", que executa um comando malicioso para baixar o CountLoader 3.2 de um servidor remoto usando o processo "mshta.exe".
Para garantir persistência no sistema, o malware cria uma tarefa agendada que simula um serviço do Google, nomeada “GoogleTaskSystem136.0.7023.12” e acompanhada de uma string identificadora.
Essa tarefa é configurada para ser executada a cada 30 minutos durante 10 anos, invocando o "mshta.exe" com um domínio de fallback.
Além disso, o malware verifica se o antivírus CrowdStrike Falcon está instalado, consultando a lista via Windows Management Instrumentation (WMI).
Caso o serviço esteja presente, a tarefa agendada é ajustada para usar o comando “cmd.exe /c start /b mshta.exe <URL>”.
Caso contrário, comunica-se diretamente com a URL usando o "mshta.exe".
O CountLoader é capaz de fazer o fingerprint do sistema comprometido e buscar o payload da próxima fase.
A versão mais recente adiciona funcionalidades para se propagar via drives USB removíveis e executar o malware diretamente na memória por meio de “mshta.exe” ou PowerShell.
Entre suas capacidades estão:
- Baixar e executar executáveis a partir de URLs fornecidas.
- Baixar arquivos ZIP contendo módulos Python ou executáveis e executá-los.
- Baixar DLLs e carregá-las via "rundll32.exe".
- Instalar pacotes MSI.
- Remover tarefas agendadas criadas pelo loader.
- Coletar e exfiltrar informações detalhadas do sistema.
- Propagar-se por mídias removíveis, criando atalhos maliciosos (arquivos LNK) que disparam o malware via “mshta.exe” com parâmetro de comando, além de executar o arquivo original oculto.
- Executar diretamente "mshta.exe" contra URLs específicas.
- Injetar e executar payloads remotos em PowerShell na memória.
Na cadeia de ataque observada pela Cyderes, o payload final distribuído pelo CountLoader é um info stealer chamado ACR Stealer, capaz de coletar dados sensíveis das máquinas infectadas.
“A campanha destaca a evolução contínua e o aumento da sofisticação do CountLoader, reforçando a necessidade de estratégias proativas de detecção e defesa em múltiplas camadas”, comenta a Cyderes.
“A capacidade de entregar o ACR Stealer em um processo multietapas, que envolve desde a manipulação da biblioteca Python até a execução de shellcode na memória, exemplifica a crescente tendência do abuso de binários assinados e técnicas fileless.”
Rede Ghost no YouTube distribui GachiLoader
Na mesma linha, a Check Point revelou uma nova ameaça: o GachiLoader, um loader JavaScript fortemente ofuscado escrito em Node.js.
O malware é disseminado pela YouTube Ghost Network, uma rede de contas do YouTube comprometidas que divulgam malwares.
“Uma variante do GachiLoader entrega um segundo estágio chamado Kidkadi, que implementa uma técnica inovadora para injeção de arquivos Portable Executable (PE)”, explicam os pesquisadores Sven Rath e Jaromír Hořejší.
“Essa técnica carrega uma DLL legítima e usa o Vectored Exception Handling para substituí-la dinamicamente por um payload malicioso.”
Cerca de 100 vídeos relacionados a essa campanha foram identificados, totalizando aproximadamente 220 mil visualizações.
Esses vídeos foram publicados por 39 contas comprometidas, com o primeiro registro datado de 22 de dezembro de 2024.
A maioria já foi removida pelo Google.
Em pelo menos um caso, o GachiLoader atuou como porta de entrada para o malware info stealer Rhadamanthys.
Assim como outros loaders, o GachiLoader é utilizado para implantar payloads adicionais, além de executar diversas verificações anti-análise para se manter oculto.
O malware também verifica se está sendo executado com privilégios elevados ao rodar o comando “net session”.
Se falhar, tenta reiniciar com privilégios administrativos, o que pode disparar um prompt do User Account Control (UAC).
É provável que a vítima autorize a ação, já que o GachiLoader costuma ser distribuído por meio de instaladores falsos de softwares populares, assim como o CountLoader.
Na fase final, o malware tenta finalizar o processo “SecHealthUI.exe”, vinculado ao Microsoft Defender, e configura exceções no Defender para evitar que o antivírus detecte os payloads maliciosos em pastas como C:\Users\, C:\ProgramData\ e C:\Windows\.
O GachiLoader pode buscar o payload final diretamente de uma URL ou usar outro loader chamado “kidkadi.node”, que utiliza o Vectored Exception Handling para carregar o código malicioso principal.
“Atores por trás do GachiLoader demonstram profundo conhecimento dos internals do Windows, criando uma variante de uma técnica conhecida”, observa a Check Point.
“Isso reforça a importância de pesquisadores de segurança acompanharem as técnicas de malware, como injeção de PE, e buscarem proativamente novas formas usadas por atacantes para evadir detecção.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...