CountLoader Malware
Cybersicherheitsexperten haben eine neue Malware-Kampagne aufgedeckt, die Webseiten mit Raubkopien missbraucht, um eine aktualisierte Variante des versteckten, modularen Loaders CountLoader zu verbreiten. Indem sie Nutzer ausnutzen, die nach gecrackten Anwendungen suchen, verschaffen sich die Angreifer einen ersten Zugang, der ihnen unbemerkten Zugriff, das Umgehen von Sicherheitsvorkehrungen und die schrittweise Installation weiterer Schadsoftware ermöglicht.
Inhaltsverzeichnis
Die Rolle von CountLoader bei einem mehrstufigen Einbruch
In dieser Kampagne fungiert CountLoader als erste Komponente einer umfassenderen Angriffskette. Frühere Untersuchungen hatten bereits gezeigt, dass der Loader verschiedene sekundäre Payloads ausführen kann, darunter Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer und PureMiner. Es gibt Hinweise darauf, dass CountLoader seit mindestens Juni 2025 aktiv in realen Angriffen eingesetzt wird, was seine Reife und kontinuierliche Weiterentwicklung unterstreicht.
Von gefälschten Downloads bis hin zu stillen Hinrichtungen
Die Infektion beginnt, wenn Opfer versuchen, gecrackte Versionen legitimer Software wie Microsoft Word herunterzuladen. Anstatt die versprochene Anwendung zu erhalten, werden sie auf ein von MediaFire gehostetes ZIP-Archiv weitergeleitet. Dieses Archiv enthält zwei wichtige Elemente: eine verschlüsselte ZIP-Datei und ein Word-Dokument, das praktischerweise das zum Öffnen benötigte Passwort enthält.
Im geschützten Archiv befindet sich ein legitimer Python-Interpreter, der in Setup.exe umbenannt wurde. Diese ausführbare Datei ist so konfiguriert, dass sie einen schädlichen Befehl ausführt, der mshta.exe nutzt, um CountLoader Version 3.2 von einem Remote-Server abzurufen und so unbemerkt die Kompromittierung einzuleiten.
Beharrlichkeit durch Täuschung und Umweltbewusstsein
Um langfristigen Zugriff zu gewährleisten, etabliert die Malware Persistenz durch die Erstellung eines geplanten Tasks, der legitim erscheinen soll. Dieser Task verwendet den Namen „GoogleTaskSystem136.0.7023.12“, gefolgt von einer Zeichenfolge, die einer eindeutigen Kennung ähnelt. Er ist so konfiguriert, dass er zehn Jahre lang alle 30 Minuten ausgeführt wird, mshta.exe aufruft und bei Bedarf auf eine Fallback-Domain zurückgreift.
Bevor CountLoader seinen Persistenzmechanismus finalisiert, prüft es das System auf das Vorhandensein eines bestimmten Sicherheitsprodukts, indem es die Antiviren-Inventarliste über Windows Management Instrumentation (WMI) abfragt. Wird das Tool erkannt, ändert der Loader seine Ausführungsmethode unauffällig und verwendet den Befehl `cmd.exe /c start /b mshta.exe`. Andernfalls kontaktiert er die Remote-URL direkt über `mshta.exe`, wodurch Reibungsverluste und Verdachtsmomente minimiert werden.
Erweiterung der Fähigkeiten und modulare Funktionen
Nach der Einrichtung erstellt CountLoader ein Profil des infizierten Hosts und lädt bei Bedarf weitere Schadsoftware herunter. Die neueste Version bietet neue Funktionen, darunter die Möglichkeit, sich über USB-Wechseldatenträger zu verbreiten und Schadcode direkt im Arbeitsspeicher mit mshta.exe oder PowerShell auszuführen. Zu den unterstützten Funktionen gehören:
- Abrufen und Ausführen von ausführbaren Dateien von entfernten URLs
- Herunterladen von ZIP-Archiven und Ausführen eingebetteter Python-Module oder EXE-Dateien
- DLL-Dateien abrufen und über rundll32.exe starten.
- Herunterladen und Installieren von MSI-Paketen
- Entfernung der eigenen geplanten Aufgabe zur Reduzierung forensischer Spuren
- Sammeln und Exfiltrieren detaillierter Systeminformationen
- Die Verbreitung erfolgt über Wechseldatenträger durch die Erstellung schädlicher LNK-Dateien neben versteckten Originaldateien, die sowohl die legitime Datei als auch die Schadsoftware über mshta.exe mit Befehls- und Kontrollparametern ausführen.
- Direkter Aufruf von mshta.exe gegen vom Angreifer kontrollierte URLs
- Remote-PowerShell-Payloads vollständig im Speicher ausführen
Die finale Nutzlast: ACR-Stealer
In der beobachteten Angriffskette lieferte CountLoader schließlich ACR Stealer, eine Malware zum Informationsdiebstahl, die sensible Daten aus kompromittierten Systemen abgreift. Diese letzte Phase wandelt einen anfänglichen Köder mit Raubkopien in eine umfassende Datendiebstahloperation um.
Was diese Kampagne für Verteidiger signalisiert
Diese Operation demonstriert die kontinuierliche Weiterentwicklung und zunehmende Raffinesse von CountLoader. Die Kombination aus Python-Interpreter-Missbrauch, Maskierung geplanter Aufgaben, Missbrauch signierter Binärdateien und dateiloser, speicherinterner Ausführung spiegelt einen umfassenderen Trend hin zu subtileren Angriffsmethoden wider. Für Sicherheitsexperten unterstreicht diese Kampagne die Bedeutung proaktiver Überwachung, mehrstufiger Sicherheitskontrollen und der Sensibilisierung der Nutzer, insbesondere hinsichtlich der Risiken des Herunterladens nicht autorisierter oder gecrackter Software.
