Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Crack e YouTube diventano trappole: CountLoader e GachiLoader aprono la porta agli info stealer
Le campagne di malware che sfruttano software craccato e video su YouTube stanno diventando sempre piu efficaci nel colpire utenti e aziende. Due esempi recenti sono CountLoader e GachiLoader, loader modulari progettati per aprire la strada a infezioni piu gravi come info stealer e strumenti di controllo remoto.
Il punto in comune e la distribuzione tramite canali apparentemente legittimi, come siti di download pirata, archivi compressi protetti da password e contenuti video compromessi.
CountLoader: distribuzione tramite software craccato e catena di infezione
Nel caso di CountLoader, la catena di infezione inizia spesso quando l utente cerca una versione crackata di software popolari. Il download porta a un archivio ZIP malevolo che include un secondo ZIP cifrato e un documento che contiene la password, una tecnica pensata per aumentare la fiducia e aggirare controlli automatici. All interno si trova un interprete Python legittimo rinominato, configurato pero per eseguire comandi che scaricano CountLoader tramite mshta.exe, un binario di Windows spesso abusato per esecuzioni fileless.
Persistenza, controlli e capacita operative
Una volta avviato, CountLoader crea persistenza con una attivita pianificata che imita componenti Google, programmata per avviarsi regolarmente per anni. Inoltre effettua controlli sull ambiente, ad esempio verificando la presenza di specifici strumenti di sicurezza, e modifica i comandi di esecuzione per aumentare le probabilita di riuscita.
- Download ed esecuzione: EXE, DLL, MSI e moduli in ZIP.
- Raccolta ed esfiltrazione: informazioni di sistema.
- Esecuzione in memoria: via PowerShell.
- Propagazione via USB: tramite collegamenti LNK malevoli che lanciano sia il file originale sia il malware.
In scenari osservati, il payload finale puo essere un info stealer capace di rubare dati sensibili. Questo rende la minaccia rilevante per la sicurezza endpoint e per la protezione delle credenziali.
GachiLoader: diffusione tramite YouTube e tecniche di evasione
Parallelamente, GachiLoader si diffonde tramite una rete di account YouTube compromessi che pubblicano video con link a falsi installer. Il loader, basato su Node.js e fortemente offuscato, esegue controlli anti analisi, tenta l elevazione dei privilegi e puo disattivare o indebolire Microsoft Defender eliminando processi e impostando esclusioni.
In alcune varianti, usa tecniche avanzate di iniezione PE e caricamento di DLL legittime sostituite al volo tramite meccanismi di gestione eccezioni, per poi scaricare ulteriori malware come info stealer.