Investigadores de ciberseguridad han revelado detalles de una nueva campaña que ha utilizado sitios de distribución de software descifrados como vector de distribución para una nueva traducción de un cargador modular y sigiloso conocido como CountLoader.
La campaña “utiliza CountLoader como útil original en un ataque de varias etapas para aceptar, evitar y entregar familias de malware adicionales”, dijo el equipo de Cyderes Howler Cell Threat Intelligence en un exploración.
CountLoader fue documentado previamente tanto por Fortinet como por Silent Push, detallando la capacidad del cargador para impulsar cargas avíos como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer y PureMiner. El cargador ha sido detectado en estado salvaje desde al menos junio de 2025.
La última prisión de ataques comienza cuando usuarios desprevenidos intentan descargar versiones descifradas de software verdadero como Microsoft Word, lo que hace que sean redirigidos a un enlace de MediaFire que aloja un archivo ZIP bellaco, que contiene un archivo ZIP enigmático y un documento de Microsoft Word con la contraseña para desobstruir el segundo archivo.
Interiormente del archivo ZIP hay un intérprete de Python verdadero renombrado (“Setup.exe”) que se ha configurado para ejecutar un comando bellaco para recuperar CountLoader 3.2 de un servidor remoto usando “mshta.exe”.
Para establecer la persistencia, el malware crea una tarea programada que imita a Google utilizando el nombre “GoogleTaskSystem136.0.7023.12” anejo con una prisión similar a un identificador. Está configurado para ejecutarse cada 30 minutos durante 10 abriles invocando “mshta.exe” con un dominio posible.
Todavía verifica si la útil de seguridad Falcon de CrowdStrike está instalada en el host consultando la nómina de antivirus a través del Instrumental de agencia de Windows (WMI). Si se detecta el servicio, el comando de persistencia se modifica a “cmd.exe /c start /b mshta.exe
CountLoader está equipado para perfilar el host comprometido y recuperar la carga útil de la futuro etapa. La traducción más nuevo del malware agrega capacidades para propagarse a través de unidades USB extraíbles y ejecutar el malware directamente en la memoria a través de “mshta.exe” o PowerShell. La nómina completa de funciones compatibles es la futuro:
- Descargue un ejecutable desde una URL proporcionada y ejecútelo
- Descargue un archivo ZIP desde una URL proporcionada y ejecute un módulo basado en Python o un archivo EXE presente en él.
- Descargue una DLL desde una URL proporcionada y ejecútela a través de “rundll32.exe”
- Descargue un paquete de instalación MSI e instálelo
- Eliminar una tarea programada utilizada por el cargador
- Recopile y extraiga amplia información del sistema.
- Se propaga a través de medios extraíbles mediante la creación de accesos directos maliciosos (LNK) anejo a sus homólogos originales ocultos que, cuando se inician, ejecutan el archivo flamante y ejecutan el malware a través de “mshta.exe” con un parámetro C2.
- Inicie directamente “mshta.exe” en una URL proporcionada
- Ejecutar una carga útil remota de PowerShell en la memoria
En la prisión de ataque observada por Cyderes, la carga útil final implementada por CountLoader es un estafador de información conocido como ACR Stealer, que está equipado para compendiar datos confidenciales de hosts infectados.
“Esta campaña destaca la transformación continua y la decano sofisticación de CountLoader, lo que refuerza la obligación de una detección proactiva y estrategias de defensa en capas”, dijo Cyderes. “Su capacidad para ofrecer ACR Stealer a través de un proceso de varias etapas que comienza desde la manipulación de la biblioteca Python hasta el descomprimido del código shell en memoria destaca una tendencia creciente de tropelía de binarios firmados y tácticas de ejecución sin archivos”.
YouTube Ghost Network ofrece GachiLoader
La divulgación se produce cuando Check Point reveló detalles de un nuevo cargador de malware JavaScript muy ofuscado denominado GachiLoader que está escrito en Node.js. El malware se distribuye a través de YouTube Ghost Network, una red de cuentas de YouTube comprometidas que se dedican a la distribución de malware.
“Una reforma de GachiLoader implementa un malware de segunda etapa, Kidkadi, que implementa una técnica novedosa para la inyección de ejecutables portátiles (PE)”, dijeron los investigadores de seguridad Sven Rath y Jaromír Hořejší. “Esta técnica carga una DLL legítima y abusa del manejo de excepciones vectorizadas para reemplazarla sobre la marcha con una carga útil maliciosa”.
Se han traumatizado hasta 100 vídeos de YouTube como parte de la campaña, acumulando aproximadamente 220.000 visitas. Estos videos se cargaron desde 39 cuentas comprometidas; el primer video data del 22 de diciembre de 2024. Desde entonces, Google eliminó la mayoría de estos videos.
En al menos un caso, GachiLoader ha servido como conducto para el malware estafador de información Rhadamanthys. Al igual que otros cargadores, GachiLoader se utiliza para implementar cargas avíos adicionales en una máquina infectada, al mismo tiempo que realiza una serie de comprobaciones antianálisis para ocurrir desapercibido.
Todavía verifica si se está ejecutando en un contexto elevado ejecutando el comando “net session”. En caso de que la ejecución falle, intenta iniciarse con privilegios de administrador, lo que, a su vez, activa un mensaje de Control de cuentas de usufructuario (UAC). Hay muchas posibilidades de que la víctima permita que continúe, ya que es probable que el malware se distribuya a través de instaladores falsos de software popular, como se describe en el caso de CountLoader.
En la última grado, el malware intenta eliminar “SecHealthUI.exe”, un proceso asociado con Microsoft Defender, y configura las exclusiones de Defender para evitar que la decisión de seguridad marque cargas maliciosas almacenadas en determinadas carpetas (por ejemplo, C:Users, C:ProgramData y C:Windows).
Luego, GachiLoader procede a apañarse directamente la carga final desde una URL remota o emplea otro cargador llamado “kidkadi.node”, que luego carga el malware principal abusando del manejo de excepciones vectorizadas.
“El actor de amenazas detrás de GachiLoader demostró competencia con los componentes internos de Windows y presentó una nueva variación de una técnica conocida”, dijo Check Point. “Esto resalta la obligación de que los investigadores de seguridad se mantengan actualizados con técnicas de malware como las inyecciones de PE y busquen proactivamente nuevas formas en las que los autores de malware intenten evitar la detección”.
