Phần mềm crack và video YouTube đang được dùng để phát tán mã độc CountLoader và GachiLoader
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một chiến dịch mới, sử dụng các trang web phân phối phần mềm bẻ khóa (cracked software) làm vector lây nhiễm cho một phiên bản mới của loại mã độc tải về (loader) dạng mô-đun và có khả năng ẩn mình cao, được gọi là CountLoader.
Đội ngũ Tình báo Mối đe dọa Cyderes Howler Cell cho biết: "Chiến dịch này sử dụng CountLoader như công cụ ban đầu trong một cuộc tấn công đa giai đoạn nhằm giành quyền truy cập, lẩn tránh sự phát hiện và phát tán thêm các họ mã độc khác."
CountLoader trước đây đã được ghi nhận bởi Fortinet và Silent Push, với khả năng đẩy các payload như Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer và PureMiner. Trình tải này đã được phát hiện hoạt động ngoài thực tế ít nhất là từ tháng 6 năm 2025.
Trong tệp ZIP là một trình thông dịch Python hợp pháp được đổi tên thành
Nó cũng kiểm tra xem CrowdStrike Falcon có được cài đặt hay không qua WMI:
Payload cuối cùng trong chiến dịch này thường là ACR Stealer. Cyderes nhận định xu hướng này nhấn mạnh sự gia tăng của việc lạm dụng tệp nhị phân có chữ ký số và chiến thuật thực thi không dùng tệp (fileless execution).
Thông tin trên được đưa ra cùng lúc Check Point tiết lộ về GachiLoader, một loader viết bằng JavaScript (Node.js) được làm mờ kỹ lưỡng, phân phối qua YouTube Ghost Network (các tài khoản YouTube bị xâm nhập).
Có khoảng 100 video bị gắn cờ với 220.000 lượt xem từ 39 tài khoản bị hack. GachiLoader cũng từng được dùng để phát tán mã độc Rhadamanthys.
Check Point nhấn mạnh sự cần thiết của việc cập nhật kiến thức về các kỹ thuật tiêm mã và chủ động tìm kiếm các phương thức lẩn tránh mới.
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một chiến dịch mới, sử dụng các trang web phân phối phần mềm bẻ khóa (cracked software) làm vector lây nhiễm cho một phiên bản mới của loại mã độc tải về (loader) dạng mô-đun và có khả năng ẩn mình cao, được gọi là CountLoader.
Đội ngũ Tình báo Mối đe dọa Cyderes Howler Cell cho biết: "Chiến dịch này sử dụng CountLoader như công cụ ban đầu trong một cuộc tấn công đa giai đoạn nhằm giành quyền truy cập, lẩn tránh sự phát hiện và phát tán thêm các họ mã độc khác."
Chiến dịch CountLoader
CountLoader trước đây đã được ghi nhận bởi Fortinet và Silent Push, với khả năng đẩy các payload như Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer và PureMiner. Trình tải này đã được phát hiện hoạt động ngoài thực tế ít nhất là từ tháng 6 năm 2025.
Chuỗi tấn công
Chuỗi tấn công mới nhất bắt đầu khi người dùng tải xuống các phiên bản bẻ khóa của phần mềm hợp pháp (ví dụ: Microsoft Word), dẫn đến việc bị chuyển hướng đến một liên kết MediaFire chứa tệp ZIP độc hại. Bên trong là một tệp ZIP được mã hóa và một tài liệu Word chứa mật khẩu.Trong tệp ZIP là một trình thông dịch Python hợp pháp được đổi tên thành
Setup.exe, được cấu hình để thực thi lệnh độc hại nhằm tải CountLoader 3.2 từ máy chủ từ xa bằng mshta.exe.Cơ chế duy trì và lẩn tránh
Để duy trì sự hiện diện, mã độc tạo một tác vụ được lên lịch giả mạo Google với tênGoogleTaskSystem136.0.7023.12. Nó chạy 30 phút/lần trong 10 năm bằng cách gọi mshta.exe.Nó cũng kiểm tra xem CrowdStrike Falcon có được cài đặt hay không qua WMI:
- Nếu phát hiện dịch vụ: Lệnh duy trì được điều chỉnh thành
cmd.exe /c start /b mshta.exe <URL>. - Nếu không: Nó kết nối trực tiếp tới URL bằng
mshta.exe.
Các tính năng chính
Phiên bản mới nhất có khả năng định hồ sơ máy chủ, lây lan qua USB và thực thi trong bộ nhớ. Các tính năng bao gồm:- Tải xuống và chạy tệp thực thi (EXE) hoặc tệp nén (ZIP) chứa mô-đun Python.
- Tải và chạy DLL qua
rundll32.exe. - Tải và cài đặt gói MSI.
- Xóa tác vụ đã lên lịch của loader.
- Thu thập và trích xuất thông tin hệ thống.
- Lây lan qua USB bằng cách tạo shortcut (LNK) độc hại chạy tệp gốc và mã độc qua
mshta.exe. - Thực thi payload PowerShell từ xa trong bộ nhớ.
Payload cuối cùng trong chiến dịch này thường là ACR Stealer. Cyderes nhận định xu hướng này nhấn mạnh sự gia tăng của việc lạm dụng tệp nhị phân có chữ ký số và chiến thuật thực thi không dùng tệp (fileless execution).
Chiến dịch GachiLoader trên YouTube
Thông tin trên được đưa ra cùng lúc Check Point tiết lộ về GachiLoader, một loader viết bằng JavaScript (Node.js) được làm mờ kỹ lưỡng, phân phối qua YouTube Ghost Network (các tài khoản YouTube bị xâm nhập).
Chi tiết kỹ thuật
Các nhà nghiên cứu Sven Rath và Jaromír Hořejší cho biết: "Một biến thể của GachiLoader triển khai mã độc giai đoạn hai tên làKidkadi, sử dụng kỹ thuật tiêm Portable Executable (PE) mới lạ. Nó tải một DLL hợp pháp và lạm dụng Vectored Exception Handling để thay thế nó bằng payload độc hại ngay trong quá trình chạy."Có khoảng 100 video bị gắn cờ với 220.000 lượt xem từ 39 tài khoản bị hack. GachiLoader cũng từng được dùng để phát tán mã độc Rhadamanthys.
Quy trình hoạt động
- Kiểm tra quyền admin bằng lệnh
net session. Nếu thất bại, nó kích hoạt UAC prompt để xin quyền (thường thành công do ngụy trang là trình cài đặt phần mềm). - Cố gắng tắt quy trình
SecHealthUI.exe(liên quan đến Microsoft Defender). - Cấu hình ngoại lệ (exclusions) cho Defender để tránh quét các thư mục như
C:\Users\,C:\ProgramData\, vàC:\Windows\. - Tải payload cuối cùng từ URL hoặc dùng loader phụ
kidkadi.nodeđể tải mã độc chính.
Check Point nhấn mạnh sự cần thiết của việc cập nhật kiến thức về các kỹ thuật tiêm mã và chủ động tìm kiếm các phương thức lẩn tránh mới.
Bài viết chỉ thể hiện quan điểm cá nhân của tác giả và mang tính tham khảo.
Chúng tôi không chịu trách nhiệm cho bất kỳ rủi ro nào phát sinh từ việc sử dụng thông tin trong bài viết.
Bài viết liên quan
Silzedt
![[VNXF] Theme Digital – Sự lựa chọn hoàn hảo cho diễn đàn công nghệ hiện đại](https://cdn.vnxf.vn/data/assets/logo_default/theme-digital.png){kind=logo}
![[VNXF 2x] Best Statistics Pro – Thống kê nâng cao, tối ưu hiệu năng cho XenForo 1.1](https://cdn.vnxf.vn/data/assets/logo_default/beststatpro2x.png){kind=logo}
