Crack e YouTube diventano trappole: CountLoader e GachiLoader aprono la porta agli info stealer

News
Visite: 200

Le campagne di malware che sfruttano software craccato e video su YouTube stanno diventando sempre piu efficaci nel colpire utenti e aziende. Due esempi recenti sono CountLoader e GachiLoader, loader modulari progettati per aprire la strada a infezioni piu gravi come info stealer e strumenti di controllo remoto. Il punto in comune e la distribuzione tramite canali apparentemente legittimi, come siti di download pirata, archivi compressi protetti da password e contenuti video compromessi.

CountLoader: distribuzione tramite software craccato e catena di infezione

Nel caso di CountLoader, la catena di infezione inizia spesso quando l utente cerca una versione crackata di software popolari. Il download porta a un archivio ZIP malevolo che include un secondo ZIP cifrato e un documento che contiene la password, una tecnica pensata per aumentare la fiducia e aggirare controlli automatici. All interno si trova un interprete Python legittimo rinominato, configurato pero per eseguire comandi che scaricano CountLoader tramite mshta.exe, un binario di Windows spesso abusato per esecuzioni fileless.

Persistenza, controlli e capacita operative

Una volta avviato, CountLoader crea persistenza con una attivita pianificata che imita componenti Google, programmata per avviarsi regolarmente per anni. Inoltre effettua controlli sull ambiente, ad esempio verificando la presenza di specifici strumenti di sicurezza, e modifica i comandi di esecuzione per aumentare le probabilita di riuscita.

  • Download ed esecuzione: EXE, DLL, MSI e moduli in ZIP.
  • Raccolta ed esfiltrazione: informazioni di sistema.
  • Esecuzione in memoria: via PowerShell.
  • Propagazione via USB: tramite collegamenti LNK malevoli che lanciano sia il file originale sia il malware.

In scenari osservati, il payload finale puo essere un info stealer capace di rubare dati sensibili. Questo rende la minaccia rilevante per la sicurezza endpoint e per la protezione delle credenziali.

GachiLoader: diffusione tramite YouTube e tecniche di evasione

Parallelamente, GachiLoader si diffonde tramite una rete di account YouTube compromessi che pubblicano video con link a falsi installer. Il loader, basato su Node.js e fortemente offuscato, esegue controlli anti analisi, tenta l elevazione dei privilegi e puo disattivare o indebolire Microsoft Defender eliminando processi e impostando esclusioni.

In alcune varianti, usa tecniche avanzate di iniezione PE e caricamento di DLL legittime sostituite al volo tramite meccanismi di gestione eccezioni, per poi scaricare ulteriori malware come info stealer.

Pin It
, , ,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta