Многоступенчатый загрузчик CountLoader атакует пользователей криптовалют через подмену буфера обмена

Специалисты обратили внимание, что кампания использует сразу несколько эшелонов защиты от обнаружения. Загрузчик применяет обфускацию (запутывание кода) на каждом этапе своего выполнения, начиная с PowerShell-скриптов и заканчивая внедрением полезной нагрузки в память легитимных процессов.

Исследователям McAfee удалось не только проанализировать поведение CountLoader, но и взять под контроль часть его инфраструктуры. Аналитики обнаружили техническую особенность в протоколе связи с серверами управления. Вредоносное ПО перебирало домены C2 в обратном порядке, и злоумышленники использовали только один из них (hell1-kitty[.]cc). Специалисты зарегистрировали резервный домен (hell10-kitty[.]cc), применив технику перехвата трафика (sinkholing). Это позволило наблюдать за подключениями зараженных машин. В среднем на подконтрольный исследователям сервер каждую минуту поступало около пяти тысяч запросов от инфицированных систем. Данные телеметрии показали, что кампания имеет глобальный охват. Наибольшее число заражений зафиксировано в Индии, за ней следуют Индонезия, США и ряд стран Юго-Восточной Азии.

Сама цепочка заражения начинается с запуска исполняемого файла. Он инициирует выполнение команды в PowerShell, которая загружает и запускает обфусцированный JavaScript-загрузчик. Его исполнение происходит через mshta.exe - штатный компонент Windows, часто используемый злоумышленниками для выполнения HTA-файлов. На этом этапе скрипт умело скрывает окно mshta, чтобы работа велась незаметно для пользователя. После проверки, что файл выполняется именно через веб-ссылку, загрузчик связывается с сервером C2. Протокол обмена данными использует шифрование с уникальным шестизначным ключом для каждого сообщения.

Закрепление в системе (persistence) достигается созданием запланированной задачи, которая запускает загрузчик каждые 30 минут. Примечательно, что команда для создания этой задачи незначительно меняется, если на зараженной машине установлены средства защиты CrowdStrike или Reason AV. После завершения "рукопожатия" с сервером и получения JWT-токена вредоносная программа собирает и передает на C2 подробную информацию о системе. В частности, ее интересуют установленные криптовалютные кошельки и расширения браузера, чтобы оценить потенциальную ценность жертвы.

Получив команду от сервера, CountLoader переходит к развертыванию дополнительных модулей. Один из них отвечает за распространение через USB-накопители: вредоносная программа заменяет файлы с расширениями .exe, .pdf, .doc и .docx на ярлыки, которые при открытии одновременно запускают оригинальный файл и инфицируют систему. Однако ключевым моментом является команда на выполнение финальной полезной нагрузки.

Для этого CountLoader запускает цепочку из нескольких скриптов. Сначала отрабатывает специальный "загрузчик", который создает еще одну запланированную задачу для поддержания активности. Далее в дело вступает PowerShell-упаковщик, который дешифрует и запускает следующий скрипт - инжектор. Перед внедрением кода инжектор отключает механизм защиты AMSI (интерфейс для сканирования на вредоносное ПО в Windows), используя код из публичного репозитория. Затем вредоносный шелл-код внедряется в один из легитимных процессов системы.

Финальной стадией становится запуск клиппера под видом процесса systeminfo.exe. Этот модуль уже напрямую предназначен для кражи криптовалюты. Для получения адреса сервера управления клиппер использует технику EtherHiding: информация шифруется в блокчейне Ethereum, что позволяет злоумышленникам оперативно менять инфраструктуру и затрудняет блокировку. После установки связи клиппер начинает круглосуточный мониторинг буфера обмена, подменяя скопированные пользователем адреса кошельков.

Данная кампания демонстрирует растущий уровень сложности современных финансовых угроз. CountLoader представляет собой модульный конструктор, способный доставлять различные типы вредоносной нагрузки - от программ-вымогателей до инструментов удаленного доступа. Использование многоэтапных загрузчиков с обфускацией, легитимных системных утилит и блокчейна для сокрытия серверов управления делает такой вид атак труднообнаружимым для классических сигнатурных методов защиты. Это еще раз подтверждает необходимость для корпоративных служб защиты внедрения продвинутых методов анализа поведения приложений и сетевого трафика.

Domains

• alphazero1-endscape.cc
• api-microservice-us1.com
• bucket-aws-s1.com
• bucket-aws-s2.com
• fileless-storage-s3.cc
• globalsnn1-new.cc
• globalsnn2-new.cc
• globalsnn3-new.cc
• handle-me-sv1.com
• hardware-office.cc
• health-smooth-eu1.com
• health-smooth-eu2.com
• health-smooth-eu3.com
• hell1-kitty.cc
• holiday-updateservice.com
• memory-protection-layer1.cc
• memory-protection-layer2.cc
• microservice-update-s1-bucket.cc
• microservice-update-s2-bucket.cc
• my-smart-house1.com
• polystore9-servicebucket.cc
• s3-updatehub.cc

URLs

• https://edr-security-bucket1.cc/
• https://hardware-office.cc/foundation.halflife
• https://hell1-kitty.cc/gamecenter.fileManager
• https://hell1-kitty.cc/update1_usb_usb_usb.VOcx4wEV8
• https://memory-scanner.cc/
• https://memory-scanner.cc/Presentation.pdf

SHA256

• 05becb67d8bf1e49fcfccb0d346b82368a2b1c2bf07316078c364c7b020154de
• 0a69a9cc75d65774e5eb90a4a739bd4335d33b176dc4923acb691bd45af66bdf
• 10593dbe9edfde7943fdaadd7882f190216b2f6502667daf701088a6e810deaf
• 27c6a6bda2c0ef3ecb78dad9c6bb7c3abaf2e32b3ad96f372a0102c0c9c0f08d
• 2cd449f1bb24f05d2e240812a74bd62f2583bbbe4d0ccc9ae5736240e29a0068
• 30dcd5c71beb76d2f8df768d5fd9e9145cb8fbbfc951a63b969d26d3b64002b9
• 3c278499c5e3ced3bf1a6a7287808c5267075f1dec0aa5c7be2c4c444f33f2bc
• 42a1fc74334c9a3b8720c79df55f84c7398bd31609eb10581e8c7155835498e3
• 44daa1b68737b55a711963eec211c7c018bcba4cb6d68c286a4b45ea781a7d73
• 44f6313e9542c0d51937a70160fe4137012905d8c79ad27ccc0021788ecfaa4e
• 4a5e1d6ee1217e1fbacf54fc6017fbf9d24a25078266b02358d56a9c7437ceb7
• 5f9ff671955a6d551595f9838aed063c496da5039be0d222fe84f96cb3e1d32a
• 9c0d334aac5a6f66016dc5ce8df75c46d519a4e6d16c68cf2b1405c81189186d
• c68e436d4cb984db026210806f50d0c81eec5f6e4860197dab91fab6f31ef796
• cbdfb46b9265a3dfb3bc6b0aade472dde28b1660dbd3ded3b67b1530b4497cca
• dc602cb53a9c24abfcdaadf0ca8256b5fb5cac6d91d20ed8431bdaaf51c0cafe
• dd4c7f5aae404816cf447b8090b620c1a1971a35c6791116aa3f871f00ae011b
• e2faad8111e7d47349cbc549b85e62231b8678057906bc813aad7242fa95ae63
• e5e1d8ec4cd109df290752ee3d4b2cbc9de6df4360e9983548f1bc6b1d088540