Siber güvenlik firması Silent Push’un yeni araştırması, Rus fidye yazılımı çetelerinin CountLoader olarak adlandırılan yeni bir kötü amaçlı program kullandığını ortaya koyuyor. Bu sadece düzenli bir kötü amaçlı yazılım parçası değil; Bu bir kötü amaçlı yazılım yükleyici.
Bu, ana işinin bir cihazı hedeflemek ve fidye yazılımı da dahil olmak üzere diğer daha zararlı programları kurmak olduğu anlamına gelir. Temel olarak Lockbit, Blackbasta ve Qilin gibi büyük siber suç grupları için önemli bir giriş noktası görevi görür ve onlara saldırılarını başlatmak için ihtiyaç duydukları ilk erişimi verir.
CountLoader kötü amaçlı yazılım yükleyici şu anda .NET, PowerShell ve JScript dahil olmak üzere üç farklı sürümde teslim edilmektedir. Silent Push’un analizi, CountLoader’ın ya başlangıç erişim brokerleri (IAB’ler veya tehlikeye atılan ağlara erişim satan siber suçlular) veya fidye yazılımı gruplarının bağlı kuruluşları tarafından kullanılan bir araç olduğunu göstermektedir.
Sahte Polis Kampanyası
Araştırma, Countloader’ın Ukrayna’daki insanlara yönelik kimlik avı saldırılarında kullanıldığı yeni bir kampanyayı vurgulamaktadır. Bilgisayar korsanları, kurbanları CountLoader’ı indirmek ve çalıştırmak için kandırmak için bir cazibe olarak sahte bir PDF belgesi ile Ukrayna polisini taklit etti.
Hackread.com ile paylaşılan blog yazısında, Silent Push, Kaspersky ve Cyfirma’daki araştırmacılar benzer kampanyalar görürken, kötü amaçlı yazılımların tam operasyonlarının sadece bir kısmını gördüklerini belirtti.
Örneğin Kaspersky’nin ekibi, Haziran 2025’te PowerShell versiyonunu gözlemlemişken, Cyfirma C2 (Komuta ve Kontrol) alanı hakkında ayrıntı alamadı: app-updaterapp.
Ancak Silent Push’un araştırması tüm resmi ortaya çıkardı. Firma, “Ekibimiz, diğer çeşitli yemleri ve hedefleme yöntemlerini kullanan birkaç ek benzersiz kampanyanın göstergelerini belirledi” dedi.
Anahtar Bağlantılar
Kötü amaçlı yazılımları izlemek için araştırmacılar, diğer ilgili sunucuları ve alanları tanımlamaya yardımcı olan teknik detayların bir kombinasyonu olan benzersiz bir parmak izi geliştirdiler. Şimdiye kadar, CountLoader tarafından kullanılan 20’den fazla benzersiz alan buldular. Ayrıca kötü amaçlı yazılımları, diğer saldırılarda kullanılan belirli dijital filigranlara bağladılar ve Lockbit, Blackbasta ve Qilin gruplarıyla olan bağlarını daha da doğruladılar.
Silent Push’un analizi, Rus siber suçlarıyla ek bağlantılar ortaya koydu. Kötü amaçlı yazılımların bir sürümü, Rusya’da popüler bir arama motoru olan Yandex tarayıcıyı taklit eden bir kullanıcı aracısı kullanır.
Bu detay, Ukrayna vatandaşlarının hedeflenmesiyle birlikte, Rusça konuşan tehdit aktörlerinin kampanyanın arkasında olduğu şüphesini güçlendiriyor. Bu yeni araştırma, Rus fidye yazılımı gruplarının ağları bir adım daha fazla ihlal etmek ve uzlaştırmak için taktiklerini nasıl aldıklarına derinlemesine bir bakış sunuyor.