The Last 24 Hours | 安全无小事

破解软件和 YouTube 视频传播 CountLoader 与 GachiLoader 恶意软件

2025/12/19 恶意软件 The Hacker News

网络安全研究人员披露了一项新攻击活动的细节,该活动利用破解软件分发站点作为向新的模块化且隐蔽的加载器 CountLoader 发行版的传播向量。

该活动“使用 CountLoader 作为多阶段攻击的初始工具,以实现访问、规避和投递额外的恶意软件家族”,Cyderes Howler Cell 威胁情报团队在一份分析报告中表示。

CountLoader 先前已被 Fortinet 和 Silent Push 记录,文档中详细描述了该加载器能够推送 Cobalt Strike、AdaptixC2、PureHVNC RAT、Amatera Stealer 和 PureMiner 等负载。自 2025 年 6 月起,该加载器已在野外被检测到。

最新的攻击链在毫不知情的用户尝试下载 Microsoft Word 等合法软件的破解版本时启动,这会将他们重定向至一个 MediaFire 链接,里面托管了一个恶意的 ZIP 档案,包含一个加密的 ZIP 文件以及一份包含打开第二个档案密码的 Microsoft Word 文档。

ZIP 文件中包含一个被改名的合法 Python 解释器(“Setup.exe”),它被配置为执行恶意命令,使用 “mshta.exe” 从远程服务器检索 CountLoader 3.2。

为了建立持久性,恶意软件创建了一个计划任务,使用名称 “GoogleTaskSystem136.0.7023.12” 并附加类似标识符的字符串,模拟 Google。该任务每 30 分钟执行一次,持续 10 年,调用 “mshta.exe” 并指向回退域名。

它还会通过 Windows Management Instrumentation (WMI) 查询防病毒列表,以判断主机上是否安装了 CrowdStrike 的 Falcon 安全工具。如果检测到该服务,持久化命令会被改为 “cmd.exe /c start /b mshta.exe ”。否则,它直接使用 “mshta.exe” 访问该 URL。

CountLoader 具备对受感染主机进行画像并获取下一阶段负载的能力。最新版本增加了通过可移动 USB 驱动器传播以及通过 “mshta.exe” 或 PowerShell 在内存中直接执行恶意代码的功能。支持的功能列表如下——

  • 从提供的 URL 下载可执行文件并执行
  • 从提供的 URL 下载 ZIP 档案,并执行其中的 Python 模块或 EXE 文件
  • 从提供的 URL 下载 DLL 并通过 “rundll32.exe” 运行
  • 从提供的 URL 下载 MSI 安装包并进行安装
  • 移除加载器使用的计划任务
  • 收集并外传大量系统信息
  • 通过在隐藏的原始快捷方式旁创建恶意快捷方式(LNK)在可移动介质上传播,启动时执行原始文件并通过 “mshta.exe” 加载带有 C2 参数的恶意代码
  • 直接对提供的 URL 启动 “mshta.exe”
  • 在内存中执行远程 PowerShell 负载

在 Cyderes 观察到的攻击链中,CountLoader 部署的最终负载是一款名为 ACR Stealer 的信息窃取器,它能够从受感染主机收集敏感数据。

“此次活动凸显了 CountLoader 持续演进和日益复杂的趋势,强化了主动检测以及分层防御策略的必要性。其通过从 Python 库篡改到内存中 shellcode 解包的多阶段过程交付 ACR Stealer,展现了签名二进制滥用和无文件执行技术的增长趋势。”

YouTube Ghost Network 投放 GachiLoader

此披露恰逢 Check Point 公开了一款新型、经过高度混淆的 JavaScript 恶意加载器 GachiLoader,该加载器使用 Node.js 编写。该恶意软件通过 YouTube Ghost Network——一组被攻陷的 YouTube 账户网络——进行分发。

GachiLoader 的一个变体部署第二阶段恶意软件 Kidkadi,该恶意软件实现了一种新颖的可执行文件(PE)注入技术。研究人员指出,该技术加载合法 DLL 并利用向量化异常处理(Vectored Exception Handling)实时替换为恶意负载。

多达 100 条 YouTube 视频被标记为此次活动的一部分,累计约 220,000 次观看。这些视频由 39 个被控制的账户上传,首个视频可追溯至 2024 年 12 月 22 日。大多数视频已被 Google 下架。

在至少一个案例中,GachiLoader 充当了 Rhadamanthys 信息窃取恶意软件的载体。与其他加载器一样,GachiLoader 用于向受感染机器投放额外负载,同时执行一系列反分析检查以规避检测。

它通过执行 “net session” 命令来检查是否以提升的上下文运行。如果执行失败,它会尝试以管理员权限重新启动自身,从而触发用户账户控制(UAC)提示。受害者很可能会允许继续,因为恶意软件往往通过伪装的热门软件安装程序分发,如 CountLoader 情况所述。

在最后阶段,恶意软件尝试终止 “SecHealthUI.exe” 进程(与 Microsoft Defender 关联),并配置 Defender 排除项,以防安全解决方案检测到放置在特定文件夹(如 C:\Users\、C:\ProgramData\、C:\Windows\)中的恶意负载。

随后,GachiLoader 要么直接从远程 URL 拉取最终负载,要么使用名为 “kidkadi.node” 的另一个加载器,通过滥用向量化异常处理加载主恶意软件。

“GachiLoader 背后的威胁行为者展示了对 Windows 内部结构的熟练掌握,创造了已知技术的新变体。这凸显了安全研究人员必须跟进恶意软件技术(如 PE 注入)并主动寻找恶意作者规避检测的新手段的必要性。”