Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant CountLoader

Logiciel malveillant CountLoader

Par Mezo en Logiciels malveillants
Se traduisent par :

Des analystes en cybersécurité ont découvert une nouvelle campagne de distribution de logiciels malveillants qui exploite des sites web proposant des logiciels piratés pour diffuser une version mise à jour d'un chargeur modulaire furtif connu sous le nom de CountLoader. En ciblant les utilisateurs à la recherche d'applications piratées, les opérateurs obtiennent une première prise d'infiltration leur permettant d'accéder discrètement aux systèmes de sécurité, de contourner les défenses et de déployer progressivement d'autres outils malveillants.

Rôle de CountLoader dans une intrusion en plusieurs étapes

Dans cette campagne, CountLoader constitue le premier maillon d'une chaîne d'attaque plus vaste. Des investigations antérieures avaient déjà démontré sa capacité à déployer diverses charges utiles secondaires, notamment Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer et PureMiner. Tout porte à croire que CountLoader est activement utilisé dans des attaques réelles depuis au moins juin 2025, ce qui témoigne de sa maturité et de son développement continu.

Des faux téléchargements à l’exécution silencieuse

Le processus d'infection débute lorsque les victimes tentent de télécharger des versions piratées de logiciels légitimes tels que Microsoft Word. Au lieu de recevoir l'application promise, elles sont redirigées vers une archive ZIP hébergée sur MediaFire. Cette archive contient deux éléments clés : un fichier ZIP chiffré et un document Word qui fournit opportunément le mot de passe nécessaire à son ouverture.

L'archive protégée contient un interpréteur Python légitime renommé Setup.exe. Ce fichier exécutable est configuré pour lancer une commande malveillante qui exploite mshta.exe afin de récupérer CountLoader version 3.2 depuis un serveur distant, initiant ainsi discrètement la compromission.

Persévérance par la tromperie et conscience de l’environnement

Pour garantir un accès permanent, le logiciel malveillant établit sa persistance en créant une tâche planifiée conçue pour paraître légitime. Elle utilise le nom « GoogleTaskSystem136.0.7023.12 », suivi d'une chaîne de caractères ressemblant à un identifiant unique. Cette tâche est configurée pour s'exécuter toutes les 30 minutes pendant dix ans, en invoquant mshta.exe et en utilisant un domaine de secours si nécessaire.

Avant de finaliser son mécanisme de persistance, CountLoader vérifie la présence d'un produit de sécurité spécifique sur le système en interrogeant l'inventaire antivirus via Windows Management Instrumentation (WMI). Si l'outil est détecté, le chargeur modifie subtilement sa méthode d'exécution pour utiliser cmd.exe /c start /b mshta.exe. Dans le cas contraire, il contacte directement l'URL distante via mshta.exe, minimisant ainsi les risques d'intrusion et de suspicion.

Extension des capacités et fonctionnalités modulaires

Une fois installé, CountLoader profile l'hôte infecté et récupère des charges utiles supplémentaires si nécessaire. La dernière version introduit de nouvelles fonctionnalités, notamment la possibilité de se propager via des clés USB amovibles et d'exécuter du code malveillant directement en mémoire à l'aide de mshta.exe ou de PowerShell. Ses capacités prises en charge incluent :

  • Récupération et exécution de fichiers exécutables à partir d'URL distantes
  • Téléchargement d'archives ZIP et exécution de modules Python intégrés ou de fichiers EXE
  • Récupération des fichiers DLL et leur exécution via rundll32.exe
  • Téléchargement et installation des packages MSI
  • Suppression de sa propre tâche planifiée afin de réduire les traces numériques
  • Collecte et exfiltration d'informations système détaillées
  • La propagation se fait via des supports amovibles en créant des fichiers LNK malveillants parallèlement aux fichiers originaux cachés, qui exécutent à la fois le fichier légitime et le logiciel malveillant via mshta.exe avec des paramètres de commande et de contrôle.
  • Invocation directe de mshta.exe contre des URL contrôlées par l'attaquant
  • Exécution de charges utiles PowerShell distantes entièrement en mémoire

La charge utile finale : Voleur d’ACR

Dans la chaîne d'attaque observée, CountLoader a finalement déployé ACR Stealer, un logiciel malveillant de vol d'informations conçu pour siphonner des données sensibles à partir de systèmes compromis. Cette étape finale transforme un appât initial utilisant un logiciel piraté en une opération de vol de données à grande échelle.

Ce que cette campagne révèle pour les défenseurs

Cette opération témoigne de l'évolution constante et de la sophistication croissante de CountLoader. L'utilisation abusive de l'interpréteur Python, le détournement de tâches planifiées, l'exploitation de binaires signés et l'exécution en mémoire sans fichier reflètent une tendance plus générale vers des techniques d'intrusion plus furtives. Pour les équipes de sécurité, cette campagne souligne l'importance d'une surveillance proactive, de contrôles de sécurité multicouches et d'une sensibilisation accrue des utilisateurs, notamment aux risques liés au téléchargement de logiciels non autorisés ou piratés.

Tendance

Arnaque par e-mail à la suspension de compte cPanel

Hameçonnage, Courrier indésirable
Les cybercriminels utilisent fréquemment des termes techniques et des services de confiance à mauvais escient pour donner une apparence de crédibilité à leurs arnaques. L'arnaque par courriel à la suspension de compte cPanel en est un exemple flagrant : un langage alarmiste est employé pour inciter les destinataires à agir rapidement. Ces courriels sont entièrement frauduleux et ne sont...

Le plus regardé

Chargement...