مهاجمان شروع به استفاده از سایتهای نرمافزاری غیرقانونی و پلتفرمهای ویدیویی محبوب برای توزیع دانلودهای مخرب CountLoader و GachiLoader کردند. این توسط Anti-Malware گزارش شده است.
به گفته تحلیلگران، کمپین فعلی حول محور CountLoader ساخته شده است، ابزاری مدولار که به عنوان اولین مرحله از حملات چند مرحله ای استفاده می شود. برای آلوده شدن، فقط باید یک نسخه “کرک شده” نرم افزار محبوب را دانلود کنید. کاربر به سرویس میزبانی فایل هدایت می شود که حاوی یک آرشیو با محتوای رمزگذاری شده اضافی و اسناد با رمزهای عبور است. پس از استخراج، یک فایل اجرایی راه اندازی می شود که به عنوان یک نصب کننده مبدل شده و کدهای مخرب را از یک سرور راه دور دانلود می کند.
برای به دست آوردن جای پایی در سیستم، CountLoader خود را به عنوان یک فرآیند سیستمی پنهان می کند که می تواند برای چندین سال با فرکانس بالا اجرا شود. لودر همچنین نرم افزار امنیتی نصب شده را تجزیه و تحلیل می کند و هنگامی که راه حل های فردی را شناسایی می کند، رفتار خود را تغییر می دهد و خطر شناسایی را کاهش می دهد. سپس اطلاعات مربوط به سیستم را جمع آوری می کند و برای راه اندازی مرحله بعدی حمله آماده می شود.
کارشناسان خاطرنشان میکنند که نسخه جدید CountLoader قابلیتهای گستردهتری از جمله راهاندازی انواع فایلها، اجرای کد در حافظه، تحویل از طریق درایوهای USB، جمعآوری دادههای دقیق از راه دور و پاک کردن ردپای فعالیتها را دارد. در یک مورد مستند، محموله نهایی یک ACR Stealer بود که برای سرقت داده های حساس طراحی شده بود.
کارشناسان Check Point به نوبه خود کمپین مخرب دیگری را با استفاده از GachiLoader، دانلودکننده ای که از طریق شبکه ای از حساب های هک شده YouTube توزیع می شود، گزارش کردند. مهاجمان ویدئوهایی را با پیوندهایی به “نصب کننده های” مخرب برای نرم افزارهای محبوب منتشر کردند. در مجموع حدود صد ویدیو از این دست شناسایی شد که در مجموع بیش از 220 هزار بازدید داشته است. بسیاری از مطالب توسط گوگل حذف شده است.
GachiLoader توانایی دور زدن مکانیسم های امنیتی، بررسی حقوق مدیریت و تلاش برای غیرفعال کردن اجزای Microsoft Defender را دارد. در یک مورد، از آن برای تحویل رادامانتیس سرقت شده استفاده شد.