Siber güvenlik araştırmacıları, CountLoader olarak bilinen modüler ve gizli bir yükleyicinin yeni bir sürümü için dağıtım vektörü olarak kırılmış yazılım dağıtım sitelerini kullanan yeni bir kampanyanın ayrıntılarını açıkladı.
Cyderes Howler Hücre Tehdit İstihbaratı ekibi bir analizde, kampanyanın “ek kötü amaçlı yazılım ailelerine erişim, saldırı ve bu ailelerin dağıtılması için çok aşamalı bir saldırıda ilk araç olarak CountLoader’ı kullandığını” söyledi.
CountLoader daha önce Fortinet ve Silent Push tarafından belgelenmişti ve yükleyicinin Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer ve PureMiner gibi yükleri itme yeteneği ayrıntılı olarak açıklanıyordu. Yükleyici en az Haziran 2025’ten bu yana vahşi doğada tespit edildi.
En son saldırı zinciri, şüphelenmeyen kullanıcıların Microsoft Word gibi yasal yazılımların kırık sürümlerini indirmeye çalışmasıyla başlıyor; bu da onların, şifrelenmiş bir ZIP dosyası ve ikinci arşivi açmak için parola içeren bir Microsoft Word belgesi içeren kötü amaçlı bir ZIP arşivini barındıran MediaFire bağlantısına yönlendirilmelerine neden oluyor.
ZIP dosyasının içinde, “mshta.exe”yi kullanarak uzak bir sunucudan CountLoader 3.2’yi almak için kötü amaçlı bir komut yürütmek üzere yapılandırılmış, yeniden adlandırılmış meşru bir Python yorumlayıcısı (“Setup.exe”) mevcuttur.
Kalıcılığı sağlamak için kötü amaçlı yazılım, tanımlayıcı benzeri bir dizeyle birlikte “GoogleTaskSystem136.0.7023.12” adını kullanarak Google’ı taklit eden zamanlanmış bir görev oluşturur. Bir yedek etki alanıyla “mshta.exe”yi çağırarak 10 yıl boyunca her 30 dakikada bir çalışacak şekilde yapılandırılmıştır.
Ayrıca, Windows Yönetim Araçları (WMI) aracılığıyla antivirüs listesini sorgulayarak CrowdStrike’ın Falcon güvenlik aracının ana bilgisayarda yüklü olup olmadığını da kontrol eder. Hizmet algılanırsa kalıcılık komutu “cmd.exe /c start /b mshta.exe” olarak ayarlanır
CountLoader, ele geçirilen ana bilgisayarın profilini oluşturacak ve bir sonraki aşamadaki yükü getirecek donanıma sahiptir. Kötü amaçlı yazılımın en yeni sürümü, çıkarılabilir USB sürücüleri aracılığıyla yayılma ve kötü amaçlı yazılımı “mshta.exe” veya PowerShell aracılığıyla doğrudan bellekte yürütme yetenekleri ekler. Desteklenen özelliklerin tam listesi aşağıdaki gibidir:
- Sağlanan bir URL’den yürütülebilir bir dosya indirin ve yürütün
- Sağlanan bir URL’den bir ZIP arşivi indirin ve Python tabanlı bir modülü veya içinde bulunan bir EXE dosyasını çalıştırır
- Sağlanan URL’den bir DLL indirin ve “rundll32.exe” aracılığıyla çalıştırın
- Bir MSI yükleyici paketini indirin ve yükleyin
- Yükleyici tarafından kullanılan zamanlanmış bir görevi kaldırın
- Kapsamlı sistem bilgilerini toplayın ve sızdırın
- Başlatıldığında orijinal dosyayı çalıştıran ve kötü amaçlı yazılımı C2 parametresi ile “mshta.exe” aracılığıyla çalıştıran, gizli orijinal benzerlerinin yanında kötü amaçlı kısayollar (LNK) oluşturarak çıkarılabilir medya aracılığıyla yayılır.
- Sağlanan bir URL’de doğrudan “mshta.exe”yi başlatın
- Bellekte uzak bir PowerShell verisi yürütme
Cyderes tarafından gözlemlenen saldırı zincirinde, CountLoader tarafından konuşlandırılan son yük, ACR Stealer olarak bilinen ve virüs bulaşmış ana bilgisayarlardan hassas verileri toplamak için donatılmış bir bilgi hırsızıdır.
Cyderes, “Bu kampanya, CountLoader’ın devam eden gelişimini ve artan karmaşıklığını vurgulayarak proaktif tespit ve katmanlı savunma stratejilerine olan ihtiyacı güçlendiriyor” dedi. “ACR Stealer’ı Python kütüphanesinin değiştirilmesinden bellek içi kabuk kodu paketinin açılmasına kadar çok aşamalı bir süreç aracılığıyla sunma yeteneği, imzalı ikili kötüye kullanım ve dosyasız yürütme taktiklerinin artan eğilimini vurguluyor.”
YouTube Hayalet Ağı GachiLoader’ı Sunuyor
Açıklama, Check Point’in, Node.js ile yazılmış, GachiLoader adlı yeni, oldukça karmaşık bir JavaScript kötü amaçlı yazılım yükleyicisinin ayrıntılarını açıklamasının ardından geldi. Kötü amaçlı yazılım, kötü amaçlı yazılım dağıtımı yapan, güvenliği ihlal edilmiş YouTube hesaplarından oluşan bir ağ olan YouTube Hayalet Ağı aracılığıyla dağıtılır.
Güvenlik araştırmacıları Sven Rath ve Jaromír Hořejší, “GachiLoader’ın bir çeşidi, Taşınabilir Çalıştırılabilir (PE) enjeksiyonu için yeni bir teknik uygulayan ikinci aşama kötü amaçlı yazılım Kidkadi’yi kullanıyor.” dedi. “Bu teknik meşru bir DLL yüklüyor ve Vektörlü İstisna İşleme’yi kötüye kullanarak onu anında kötü amaçlı bir veriyle değiştiriyor.”
Kampanya kapsamında 100 kadar YouTube videosu işaretlendi ve yaklaşık 220.000 görüntüleme elde edildi. Bu videolar, güvenliği ihlal edilmiş 39 hesaptan yüklendi ve ilk video 22 Aralık 2024’e kadar uzanıyor. Bu videoların çoğu o zamandan beri Google tarafından yayından kaldırıldı.
En az bir durumda GachiLoader, Rhadamanthys bilgi hırsızı kötü amaçlı yazılımı için bir kanal görevi gördü. Diğer yükleyiciler gibi, GachiLoader da virüs bulaşmış bir makineye ek yükler dağıtmak için kullanılırken aynı zamanda radarın altından geçmek için bir dizi anti-analiz kontrolü gerçekleştiriyor.
Ayrıca “net session” komutunu çalıştırarak yükseltilmiş bir bağlamda çalışıp çalışmadığını da kontrol eder. Yürütmenin başarısız olması durumunda, kendisini yönetici ayrıcalıklarıyla başlatmaya çalışır ve bu da bir Kullanıcı Hesabı Denetimi (UAC) istemini tetikler. CountLoader vakasında belirtildiği gibi, kötü amaçlı yazılımın popüler yazılımlar için sahte yükleyiciler aracılığıyla dağıtılması muhtemel olduğundan, kurbanın devam etmesine izin verme ihtimali yüksektir.
Son aşamada, kötü amaçlı yazılım, Microsoft Defender ile ilişkili bir süreç olan “SecHealthUI.exe”yi öldürmeye çalışır ve güvenlik çözümünün belirli klasörlerde (örneğin, C:\Users\, C:\ProgramData\ ve C:\Windows\) düzenlenen kötü amaçlı yükleri işaretlemesini önlemek için Defender dışlamalarını yapılandırır.
GachiLoader daha sonra ya doğrudan uzak bir URL’den nihai yükü almaya devam eder ya da “kidkadi.node” adlı başka bir yükleyiciyi kullanır ve bu daha sonra Vektörlü İstisna İşleme’yi kötüye kullanarak ana kötü amaçlı yazılımı yükler.
Check Point, “GachiLoader’ın arkasındaki tehdit aktörü, bilinen bir tekniğin yeni bir varyasyonunu ortaya çıkararak Windows’un dahili bileşenlerinde ustalık sergiledi” dedi. “Bu, güvenlik araştırmacılarının PE enjeksiyonları gibi kötü amaçlı yazılım teknikleri konusunda güncel kalmaları ve kötü amaçlı yazılım yazarlarının tespitten kaçmaya çalıştıkları yeni yolları proaktif olarak aramaları ihtiyacını vurguluyor.”