Fałszywe e-maile ukraińskiej policji rozprzestrzeniają nowy program CountLoader Malware Loader
Nowe badania firmy zajmującej się cyberbezpieczeństwem Silent Push ujawniają, że rosyjskie gangi ransomware używają nowego typu złośliwego oprogramowania o nazwie CountLoader. To nie jest zwykły złośliwy program, ale program ładujący złośliwe oprogramowanie.
Oznacza to, że jego głównym zadaniem jest atakowanie urządzenia i instalowanie innych, bardziej szkodliwych programów, w tym ransomware. Działa on zasadniczo jako kluczowy punkt wejścia dla głównych grup cyberprzestępczych, takich jak LockBit , BlackBasta i Qilin , zapewniając im początkowy dostęp niezbędny do przeprowadzenia ataków.
Narzędzie do ładowania złośliwego oprogramowania CountLoader jest obecnie dostępne w trzech wersjach: .NET, PowerShell i JScript. Analiza Silent Push sugeruje, że CountLoader jest narzędziem używanym albo przez brokerów dostępu początkowego (IAB, czyli cyberprzestępców sprzedających dostęp do zainfekowanych sieci), albo przez podmioty stowarzyszone z grupami ransomware.
Badania wskazują na niedawną kampanię, w której CountLoader był wykorzystywany w atakach phishingowych wymierzonych w osoby na Ukrainie. Hakerzy podszywali się pod ukraińską policję, używając fałszywego dokumentu PDF , aby nakłonić ofiary do pobrania i uruchomienia CountLoadera.
We wpisie na blogu udostępnionym serwisowi Hackread.com firma Silent Push zauważyła, że chociaż badacze z firm Kaspersky i Cyfirma zaobserwowali podobne kampanie, widzieli tylko część wszystkich operacji tego złośliwego oprogramowania.
Na przykład zespół Kaspersky'ego zaobserwował wersję programu PowerShell w czerwcu 2025 r., natomiast Cyfirma nie mogła uzyskać szczegółowych informacji na temat domeny C2 (polecenia i kontrola): app-updaterapp .
Badania Silent Push ujawniły jednak pełny obraz sytuacji. „Nasz zespół zidentyfikował oznaki kilku dodatkowych, unikalnych kampanii wykorzystujących różne przynęty i metody targetowania” – poinformowała firma.
Aby śledzić złośliwe oprogramowanie, badacze opracowali unikalny odcisk palca, czyli kombinację szczegółów technicznych, które pomagają zidentyfikować inne powiązane serwery i domeny. Do tej pory znaleźli ponad 20 unikalnych domen używanych przez CountLoader. Powiązali również złośliwe oprogramowanie z konkretnymi cyfrowymi znakami wodnymi używanymi w innych atakach, co dodatkowo potwierdza jego powiązania z grupami LockBit, BlackBasta i Qilin.
Analiza Silent Push ujawniła dodatkowe powiązania z rosyjską cyberprzestępczością. Jedna z wersji złośliwego oprogramowania wykorzystuje agenta użytkownika imitującego przeglądarkę Yandex , popularną wyszukiwarkę w Rosji.
Ten szczegół, w połączeniu z atakiem na obywateli Ukrainy, wzmacnia podejrzenia, że za tą kampanią stoją rosyjskojęzyczni cyberprzestępcy. Nowe badania pozwalają dogłębnie zrozumieć, w jaki sposób rosyjskie grupy ransomware rozwijają swoją taktykę włamywania się do sieci i kompromitowania ich.
HackRead
