كشف باحثون في الأمن السيبراني عن تفاصيل حملة خبيثة تستغل مواقع توزيع البرمجيات المقرصنة لنشر نسخة جديدة من أداة تحميل خفية تُعرف باسم CountLoader. هذه الأداة تُستخدم كمرحلة أولى في هجوم متعدد المراحل يهدف إلى التسلل، التهرب من الرصد، وتوزيع عائلات إضافية من البرمجيات الخبيثة. وقد رُصد CountLoader في الهجمات منذ يونيو 2025، حيث يمتلك القدرة على نشر أدوات مثل Cobalt Strike وAdaptixC2 وPureHVNC RAT وAmatera Stealer وPureMiner.
آلية الهجوم وتثبيت الاستمرارية
تبدأ سلسلة الهجوم عندما يحاول المستخدمون تحميل نسخ مقرصنة من برامج مشهورة مثل Microsoft Word، ليتم تحويلهم إلى رابط على MediaFire يحتوي على أرشيف ZIP خبيث. داخل الملف يوجد نسخة معدلة من مترجم Python الشرعي باسم “Setup.exe”، مهيأ لتنفيذ أوامر خبيثة عبر أداة mshta.exe لجلب CountLoader 3.2 من خادم بعيد. لضمان الاستمرارية، ينشئ البرنامج مهمة مجدولة باسم مزيف يشبه منتجات غوغل “GoogleTaskSystem136.0.7023.12″، تعمل كل 30 دقيقة لمدة عشر سنوات. كما يتحقق من وجود أداة الحماية CrowdStrike Falcon، ويعدل أوامر التنفيذ وفقاً لذلك لتجنب الرصد. الإصدار الجديد يضيف قدرات مثل الانتشار عبر وحدات USB القابلة للإزالة وتنفيذ التعليمات البرمجية مباشرة في الذاكرة باستخدام PowerShell أو mshta.exe. . وفي النهاية، يقوم CountLoader بتنزيل برمجية ACR Stealer لسرقة البيانات الحساسة من الأجهزة المصابة.
شبكة يوتيوب Ghost وتوزيع GachiLoader
في سياق متصل، كشفت شركة Check Point عن برمجية تحميل جديدة مكتوبة بلغة Node.js تُعرف باسم GachiLoader، يتم توزيعها عبر شبكة “YouTube Ghost”، وهي مجموعة من الحسابات المخترقة على يوتيوب تُستخدم لنشر البرمجيات الخبيثة. تم رصد نحو 100 فيديو ضمن الحملة، حققت أكثر من 220 ألف مشاهدة، قبل أن تتم إزالة معظمها بواسطة غوغل. أحد إصدارات GachiLoader يقوم بنشر برمجية ثانية تُعرف باسم Kidkadi، التي تعتمد تقنية مبتكرة لحقن الملفات التنفيذية (PE Injection) عبر استغلال آلية Vectored Exception Handling، حيث يتم تحميل مكتبة DLL شرعية واستبدالها على الفور بحمولة خبيثة.
قدرات إضافية ومحاولات لتجاوز الدفاعات
مثل غيره من أدوات التحميل، يُستخدم GachiLoader لنشر برمجيات إضافية مثل Rhadamanthys Stealer، مع تنفيذ سلسلة من الفحوصات المضادة للتحليل لتجنب الاكتشاف. كما يحاول الحصول على صلاحيات إدارية عبر أوامر “net session”، ويقوم بقتل عملية SecHealthUI.exe المرتبطة بـ Microsoft Defender، إضافة إلى تعديل إعدادات الاستثناءات في Defender لتجنب رصد الملفات الخبيثة. هذه التطورات تؤكد أن مطوري البرمجيات الخبيثة يواصلون ابتكار تقنيات جديدة للتخفي، ما يفرض على الباحثين الأمنيين مواكبة أحدث أساليب الحقن والتنفيذ في الذاكرة، وتعزيز استراتيجيات الدفاع متعددة الطبقات.
