Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utilizó un sitio de distribución de software descifrado como vector de distribución para una nueva versión de un cargador modular sigiloso conocido como CountLoader.
El equipo de Cyderes Howler Cell Threat Intelligence dijo en su análisis que la campaña «utiliza CountLoader como la primera herramienta en un ataque de múltiples etapas para acceder, evadir y distribuir familias de malware adicionales».
CountLoader ha sido documentado previamente tanto por Fortinet como por Silent Push, detallando la capacidad del cargador para impulsar cargas útiles como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer y PureMiner. Este cargador ha sido detectado en estado salvaje desde al menos junio de 2025.
La última cadena de ataques comienza cuando un usuario desprevenido intenta descargar una versión descifrada de software legítimo, como Microsoft Word, y es redirigido a un enlace de MediaFire que aloja un archivo ZIP malicioso. Este archivo contiene un archivo ZIP cifrado y un documento de Microsoft Word con una contraseña para abrir el segundo archivo.
Dentro del archivo ZIP hay un intérprete de Python legítimo renombrado (‘Setup.exe’). Está configurado para ejecutar un comando malicioso que recupera CountLoader 3.2 de un servidor remoto usando ‘mshta.exe’.
Para establecer la persistencia, el malware crea una tarea programada que imita a Google usando el nombre «GoogleTaskSystem136.0.7023.12» y una cadena similar a un identificador. Está configurado para ejecutarse cada 30 minutos durante 10 años llamando a ‘mshta.exe’ en el dominio alternativo.
También verifica si la herramienta de seguridad Falcon de CrowdStrike está instalada en el host consultando la lista de antivirus a través del Instrumental de administración de Windows (WMI). Si se detecta el servicio, el comando de persistencia se ajusta a «cmd.exe /c start /b mshta.exe». De lo contrario, utilice «mshta.exe» para acceder a la URL directamente.
CountLoader está equipado para perfilar hosts comprometidos y recuperar la carga útil de la siguiente etapa. La última versión de este malware agrega la capacidad de propagarse a través de unidades USB extraíbles y ejecutar el malware directamente en la memoria a través de ‘mshta.exe’ o PowerShell. Aquí está la lista completa de funciones compatibles:
Descarga y ejecuta un archivo ejecutable desde la URL especificada Descarga un archivo ZIP desde la URL especificada y ejecuta cualquier módulo basado en Python o archivo EXE presente en él Descarga una DLL desde la URL especificada y la ejecuta a través de ‘rundll32.exe’ Descarga e instala un paquete de instalación MSI Elimina las tareas programadas utilizadas por el cargador Recopila y extrae información extensa del sistema Se propaga a través de medios extraíbles creando un acceso directo malicioso (LNK) que ejecuta el archivo original al inicio junto a su contraparte original oculta Ejecuta malware a través de ‘mshta.exe’ con parámetros C2 Inicia ‘mshta.exe’ directamente en la URL proporcionada Ejecuta la carga útil remota de PowerShell en la memoria
En la cadena de ataque observada por Cyderes, la carga útil final implementada por CountLoader es un ladrón de información conocido como ACR Stealer, que tiene la capacidad de recopilar datos confidenciales de hosts infectados.
«Esta campaña destaca la continua evolución y sofisticación de CountLoader, lo que refuerza la necesidad de una detección proactiva y estrategias de defensa en profundidad», dijo Cyderes. «Su capacidad para ofrecer ACR Stealer a través de un proceso de varios pasos que va desde modificar las bibliotecas de Python hasta descomprimir el código shell en memoria destaca la creciente tendencia de explotación binaria firmada y tácticas de ejecución sin archivos».
YouTube Ghost Network presenta GachiLoader
Esta divulgación se produce después de que Check Point revelara detalles de un nuevo cargador de malware JavaScript altamente ofuscado escrito en Node.js llamado GachiLoader. El malware se distribuye a través de la red YouTube Ghost, una red de cuentas de YouTube comprometidas involucradas en la distribución del malware.
«Una de las variantes de GachiLoader implementa una segunda etapa de malware, Kidkadi, que implementa una nueva técnica para la inyección de ejecutables portátiles (PE)», dijeron los investigadores de seguridad Sven Rath y Jaromír Hořejší. «Esta técnica carga una DLL legítima y explota el manejo de excepciones de vectores para reemplazarla con una carga útil maliciosa sobre la marcha».
Como parte de la campaña se reportaron hasta 100 videos de YouTube, con aproximadamente 220.000 visitas. Estos videos se cargaron desde 39 cuentas comprometidas, y el primer video data del 22 de diciembre de 2024. Desde entonces, Google eliminó la mayoría de estos videos.
En al menos un caso, GachiLoader sirvió como conducto para el malware de robo de información Rhadamanthys. Al igual que otros cargadores, GachiLoader se utiliza para implementar cargas útiles adicionales en máquinas infectadas, mientras ejecuta una serie de comprobaciones antianálisis para pasar desapercibido.
También verifique si se está ejecutando con privilegios de administrador ejecutando el comando «net session». Si la ejecución falla, intenta iniciarse con privilegios de administrador, lo que activa un mensaje de Control de cuentas de usuario (UAC). Como se describió en el caso CountLoader, es más probable que el malware se distribuya a través de instaladores falsos de software popular, lo que hace más probable que las víctimas permitan que continúe.
En la fase final, el malware intenta eliminar ‘SecHealthUI.exe’, un proceso asociado con Microsoft Defender, y configura las exclusiones de Defender para evitar que las soluciones de seguridad marquen cargas maliciosas almacenadas en carpetas específicas (C:\Users\, C:\ProgramData\, C:\Windows\).
Luego, GachiLoader recupera la carga útil final directamente desde la URL remota o utiliza otro cargador llamado ‘kidkadi.node’ para cargar el malware principal explotando el manejo de excepciones de vectores.
«Los atacantes detrás de GachiLoader están familiarizados con las partes internas de Windows y han ideado nuevas variaciones de técnicas conocidas», dijo Check Point. «Esto pone de relieve la necesidad de que los investigadores de seguridad se mantengan actualizados sobre técnicas de malware como la inyección de PE y busquen activamente nuevas formas para que los autores de malware intenten evadir la detección».
Source link
