Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một chiến dịch mới, sử dụng các trang web phân phối phần mềm bẻ khóa làm phương tiện phát tán cho một phiên bản mới của mã độc tải xuống (loader) mô-đun và tinh vi mang tên CountLoader.
Chiến dịch này "sử dụng CountLoader làm công cụ ban đầu trong một cuộc tấn công nhiều giai đoạn để truy cập, né tránh và cung cấp thêm các họ mã độc khác," nhóm tình báo mối đe dọa Cyderes Howler Cell cho biết trong một phân tích.
CountLoader trước đây đã được ghi nhận bởi cả Fortinet và Silent Push, mô tả khả năng của loader này trong việc đẩy các payload như Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer và PureMiner. Loader này đã được phát hiện trong thực tế ít nhất từ tháng 6 năm 2025.
Chuỗi tấn công mới nhất bắt đầu khi người dùng không nghi ngờ cố gắng tải xuống các phiên bản phần mềm bẻ khóa hợp pháp như Microsoft Word, điều này khiến họ bị chuyển hướng đến một liên kết MediaFire chứa một kho lưu trữ ZIP độc hại. Kho lưu trữ này chứa một tệp ZIP được mã hóa và một tài liệu Microsoft Word có mật khẩu để mở kho lưu trữ thứ hai.
Bên trong tệp ZIP là một trình thông dịch Python hợp pháp đã được đổi tên ("Setup.exe") được cấu hình để thực thi một lệnh độc hại nhằm lấy CountLoader 3.2 từ một máy chủ từ xa bằng cách sử dụng "mshta.exe."
Để thiết lập sự kiên trì, mã độc tạo một scheduled task giả mạo Google bằng cách sử dụng tên "GoogleTaskSystem136.0.7023.12" cùng với một chuỗi giống như định danh. Nó được cấu hình để chạy mỗi 30 phút trong 10 năm bằng cách gọi "mshta.exe" với một tên miền dự phòng.
Nó cũng kiểm tra xem công cụ bảo mật Falcon của CrowdStrike có được cài đặt trên máy chủ hay không bằng cách truy vấn danh sách antivirus thông qua Windows Management Instrumentation (WMI). Nếu dịch vụ được phát hiện, lệnh duy trì được điều chỉnh thành "cmd.exe /c start /b mshta.exe <URL>." Ngược lại, nó trực tiếp truy cập URL bằng "mshta.exe."
CountLoader được trang bị để lập hồ sơ máy chủ bị xâm nhập và tìm nạp payload giai đoạn tiếp theo. Phiên bản mới nhất của mã độc này bổ sung khả năng lây lan qua các ổ USB di động và thực thi mã độc trực tiếp trong bộ nhớ thông qua "mshta.exe" hoặc PowerShell. Danh sách đầy đủ các tính năng được hỗ trợ như sau:
- Tải xuống và thực thi một tệp thực thi từ một URL được cung cấp
- Tải xuống một kho lưu trữ ZIP từ một URL được cung cấp và thực thi một mô-đun dựa trên Python hoặc một tệp EXE có trong đó
- Tải xuống một DLL từ một URL được cung cấp và chạy nó thông qua "rundll32.exe"
- Tải xuống và cài đặt gói cài đặt MSI
- Xóa một scheduled task được loader sử dụng
- Thu thập và đánh cắp thông tin hệ thống mở rộng
- Lây lan qua các thiết bị lưu trữ di động bằng cách tạo các shortcut (LNK) độc hại bên cạnh các bản gốc ẩn của chúng, khi khởi chạy, thực thi tệp gốc và chạy mã độc qua "mshta.exe" với tham số C2
- Trực tiếp khởi chạy "mshta.exe" chống lại một URL được cung cấp
- Thực thi một payload PowerShell từ xa trong bộ nhớ
Trong chuỗi tấn công được Cyderes quan sát, payload cuối cùng được CountLoader triển khai là một trình đánh cắp thông tin được gọi là ACR Stealer, được trang bị để thu thập dữ liệu nhạy cảm từ các máy chủ bị nhiễm.
"Chiến dịch này làm nổi bật sự phát triển không ngừng và mức độ tinh vi ngày càng tăng của CountLoader, củng cố nhu cầu về các chiến lược phát hiện chủ động và phòng thủ nhiều lớp," Cyderes cho biết. "Khả năng cung cấp ACR Stealer thông qua một quy trình nhiều giai đoạn, bắt đầu từ việc giả mạo thư viện Python đến giải nén shellcode trong bộ nhớ, làm nổi bật xu hướng lạm dụng signed binary và các chiến thuật thực thi fileless ngày càng tăng."
Mạng lưới YouTube Ghost Network phát tán GachiLoader
Thông tin được công bố khi Check Point tiết lộ chi tiết về một mã độc tải xuống (loader) JavaScript mới, bị che giấu nghiêm ngặt, có tên là GachiLoader, được viết bằng Node.js. Mã độc này được phân phối thông qua YouTube Ghost Network, một mạng lưới các tài khoản YouTube bị xâm nhập tham gia vào việc phát tán mã độc.
"Một biến thể của GachiLoader triển khai mã độc giai đoạn hai, Kidkadi, sử dụng một kỹ thuật mới để Portable Executable (PE) injection," các nhà nghiên cứu bảo mật Sven Rath và Jaromír Hořejší cho biết. "Kỹ thuật này tải một DLL hợp pháp và lạm dụng Vectored Exception Handling để thay thế nó ngay lập tức bằng một payload độc hại."
Có tới 100 video YouTube đã được gắn cờ là một phần của chiến dịch, thu hút khoảng 220.000 lượt xem. Các video này được tải lên từ 39 tài khoản bị xâm nhập, với video đầu tiên có từ ngày 22 tháng 12 năm 2024. Phần lớn các video này đã bị Google gỡ xuống.
Trong ít nhất một trường hợp, GachiLoader đã đóng vai trò là cầu nối cho mã độc đánh cắp thông tin Rhadamanthys. Giống như các loader khác, GachiLoader được sử dụng để triển khai các payload bổ sung vào một máy bị nhiễm, đồng thời thực hiện một loạt các kiểm tra anti-analysis để tránh bị phát hiện.
Nó cũng kiểm tra xem nó có đang chạy trong ngữ cảnh elevated hay không bằng cách chạy lệnh "net session". Trong trường hợp thực thi thất bại, nó cố gắng tự khởi động với admin privileges, điều này sẽ kích hoạt lời nhắc User Account Control (UAC). Khả năng cao nạn nhân sẽ cho phép nó tiếp tục, vì mã độc có khả năng được phân phối thông qua các trình cài đặt giả mạo cho phần mềm phổ biến, như đã nêu trong trường hợp của CountLoader.
Trong giai đoạn cuối, mã độc cố gắng kết thúc "SecHealthUI.exe," một quy trình liên quan đến Microsoft Defender, và cấu hình Defender exclusions để tránh giải pháp bảo mật này gắn cờ các payload độc hại được lưu trữ trong các thư mục nhất định (ví dụ: C:\Users\, C:\ProgramData\ và C:\Windows\).
GachiLoader sau đó tiếp tục trực tiếp tìm nạp payload cuối cùng từ một URL từ xa hoặc sử dụng một loader khác có tên "kidkadi.node," sau đó tải mã độc chính bằng cách lạm dụng Vectored Exception Handling.
"Tác nhân đe dọa đằng sau GachiLoader đã thể hiện sự thành thạo với các nội bộ Windows, đưa ra một biến thể mới của một kỹ thuật đã biết," Check Point cho biết. "Điều này nhấn mạnh sự cần thiết của các nhà nghiên cứu bảo mật trong việc cập nhật các kỹ thuật mã độc như PE injections và chủ động tìm kiếm những cách mới mà các tác giả mã độc cố gắng trốn tránh sự phát hiện."
