Специалисты обнаружили новую кампанию с усовершенствованным CountLoader, распространяемым через взломанное ПО

Кампания использует многоэтапный подход для обеспечения доступа, уклонения от обнаружения и доставки дополнительных вредоносных семейств. Исторически CountLoader был впервые описан в сентябре 2025 года, а теперь обнаружена его новая версия 3.2. Этот вариант расширил свои возможности с шести до девяти типов задач. Ключевыми нововведениями стали функции распространения полезной нагрузки (payload) через съемные носители и прямое выполнение кода в памяти с использованием Mshta и PowerShell.

Процесс заражения начинается с того, что пользователь, ищущий взломанные версии популярного ПО, например Microsoft Office, попадает на поддельную страницу загрузки. Сайт перенаправляет жертву на ссылку в сервисе MediaFire, где размещен вредоносный архив. Этот архив содержит зашифрованный ZIP-файл и документ с паролем для его открытия. Внутри архива находится переименованный легитимный интерпретатор Python, который используется для запуска модифицированной библиотеки. Эта библиотека, в свою очередь, исполняет скрипт HTA, загружающий обфусцированный CountLoader.

После выполнения загрузчик удаляет свой файл с диска и устанавливает постоянное присутствие (persistence) в системе через задание Планировщика задач Windows с маскировкой под процесс Google. Задание настроено на выполнение каждые 30 минут в течение 10 лет. CountLoader проводит разведку системы, собирая детальную информацию об операционной системе, установленном антивирусном ПО, доменном окружении и даже наличии криптокошельков. Все данные шифруются с помощью кастомного алгоритма, использующего XOR и Base64, и отправляются на командный сервер (C2).

Для связи с C2 используется набор доменов, маскирующихся под глобальные сервисы. После валидации активного сервера вредонос получает JWT-токен для аутентификации последующих запросов. Затем CountLoader запрашивает задачи у оператора. Поддерживаемые типы задач включают загрузку и исполнение файлов, установку MSI-пакетов, сбор расширенной разведывательной информации и, что важно, распространение на съемные USB-накопители.

В рамках исследованной кампании C2 сервер выдал задачу на загрузку ZIP-архива. Внутри архива находился троянизированный исполняемый файл WinX_DVD_Copy_Pro.exe. Этот файл был создан на основе легитимной подписанной программы, в код которой был внедрен шелл-код. Шелл-код, используя технику файлесс-атаки, распаковывает в памяти финальную полезную нагрузку без записи на диск. Этой нагрузкой оказался стилер ACR Stealer, предназначенный для кражи учетных данных, данных браузеров и криптокошельков.

Аналитики Howler Cell также обнаружили в открытых источниках другие вредоносные Python-пакеты, связанные с этой кампанией и загруженные еще в сентябре 2025 года. На момент публикации они не детектировались антивирусами. Инфраструктура C2 использует домены, имитирующие легитимные сервисы, и размещается на хостингах в США и Гонконге, что затрудняет атрибуцию и блокировку.

Эта кампания демонстрирует продолжающуюся эволюцию CountLoader в сторону большей скрытности и модульности. Злоумышленники активно используют злоупотребление доверенными инструментами (LOLBins), такие как PowerShell, Mshta, Certutil и Bitsadmin, а также техники выполнения кода исключительно в памяти. Эксперты подчеркивают необходимость многоуровневой защиты, мониторинга аномальных запланированных задач, контроля за исполнением скриптов и интеграции актуальной разведывательной информации для противодействия подобным сложным угрозам.

IPv4

• 104.21.9.208
• 104.21.91.144
• 172.67.173.229
• 31.59.139.111
• 45.154.58.190
• 94.183.183.52
• 94.183.185.142

Domains

• alphazero1-endscape.cc
• bucket-aws-s1.com
• globalsnn1-new.cc
• globalsnn2-new.cc
• globalsnn3-new.cc
• microservice-update-s1-bucket.cc
• ms-team-ping1.com
• ms-team-ping7.com
• my-smart-house1.com
• polystore9-servicebucket.cc
• s1-rarlab.com

SHA256

• 0fa42bbd3b92236bc5e2d26f32fc5b8d7c8aaa0f157e3960e4ffa19491292945
• 5cfde2ce325e868bf9f3ea9608357d2a2df303c99be304d166bdf66f0d48d58e
• 8403d3d2955b141b84fe81dff046f0f355cc7185afc5ad7ae16706248fed3567
• 91efc7f56e7f8246d34e7d126c4f4cf71a1a5de977a4ba9097531a59e72bb68d
• 99340600db5fd3355a3d7ba9e243b65630d928e70afbfb401bce4e16d194e22a
• a220e348e4027846ee8e8c36b94b5d20a05aa11c18e659e44897d39c57444681
• b8805ac976918b1104750a09891336c7e6246426b8193f54f2847aee8cd96c68
• bb4811f14f3c42f6a62106ab2fcd0510cb6c97bb5cbd0a35640fcdb29b358530
• d261394ea0012f6eaddc21a2091db8a7d982d919f18d3ee6962dc4bb935d5759
• e12e905d683de75543238312b44f3f69707e1a16bc40aa2d14048a8101ce49b8
• eac4f6a197b4a738c2294419fda97958b45faee3475b70b6ce113348b73eab3b
• fd2d1ce509c558fa3abc0216530e8ebf1a7a9d7adab41df856b06dc80a4650f0