Los investigadores de ciberseguridad han descubierto un nuevo cargador de malware con el nombre en código CountLoader que las bandas rusas de ransomware han utilizado para ofrecer herramientas posteriores a la explotación, como Cobalt Strike y Adaptic C2 y un troyano de acceso remoto conocido como PureHVNC RAT.
«CountLoader se utiliza como parte del conjunto de herramientas de un agente de acceso inicial (IAB) o por una filial de ransomware vinculada a los grupos de ransomware LockBit, Black Basta y Qilin», Silent Push dijo en un análisis.
La amenaza emergente, que aparece en tres versiones diferentes (.NET, PowerShell y JavaScript), se ha observado en una campaña dirigida a personas en Ucrania que utilizan señuelos de suplantación de identidad basados en PDF y que se hacen pasar por miembros de la Policía Nacional de Ucrania.
Vale la pena señalar que la versión PowerShell del malware era marcado anteriormente de Kaspersky, ya que se distribuye utilizando señuelos relacionados con DeepSeek para engañar a los usuarios para que lo instalen.
Los ataques, según el proveedor ruso de ciberseguridad, llevaron al despliegue de un implante llamado BrowserVenom que puede reconfigurar todas las instancias de navegación para forzar el tráfico a través de un proxy controlado por los actores de la amenaza, lo que permite a los atacantes manipular el tráfico de la red y recopilar datos.
La investigación de Silent Push descubrió que la versión de JavaScript es la implementación más completa del cargador, ya que ofrece seis métodos diferentes para descargar archivos, tres métodos diferentes para ejecutar varios archivos binarios de malware y una función predefinida para identificar el dispositivo de la víctima en función de la información del dominio de Windows.
El malware también es capaz de recopilar información del sistema, configurar la persistencia en el servidor mediante la creación de una tarea programada que se hace pasar por una tarea de actualización de Google para el navegador web Chrome y conectarse a un servidor remoto para esperar más instrucciones.
Esto incluye la capacidad de descargar y ejecutar las cargas útiles de los instaladores de DLL y MSI mediante rundll32.exe y msiexec.exe, transmitir los metadatos del sistema y eliminar la tarea programada creada. Los seis métodos utilizados para descargar archivos incluyen el uso de curl, PowerShell, MSXML2.XMLHTTP, WinHttp.WinHttpRequest.5.1, bitsadmin y certutil.exe.
«Al usar LOLBins como 'certutil' y 'bitsadmin', y al implementar un generador PowerShell de cifrado de comandos «sobre la marcha», los desarrolladores de CountLoader demuestran aquí un conocimiento avanzado del sistema operativo Windows y el desarrollo de malware», afirma Silent Push.
Un aspecto notable de CountLoader es el uso de la carpeta Música de la víctima como escenario para el malware. La versión de.NET comparte cierto grado de cruzamiento funcional con su homóloga de JavaScript, pero solo admite dos tipos diferentes de comandos (UpdateType.Zip o UpdateType.Exe), lo que indica que se trata de una versión reducida y simplificada.
CountLoader cuenta con el respaldo de una infraestructura que comprende más de 20 dominios únicos, y el malware sirve de conducto para Cobalt Strike, AdaptixC2 y PureHVNC RAT, el último de los cuales es una oferta comercial de un actor de amenazas conocido como Pure Coder . Vale la pena señalar que PureHVNC RAT es un predecesor a Rata pura , que también se conoce como Resolver RAT .
Las campañas recientes que distribuyen PureHVNC RAT han aprovechado la probada táctica de ingeniería social de ClickFix como vector de entrega, atrayendo a las víctimas a la página de suplantación de identidad de ClickFix a través de ofertas de trabajo falsas, según Check Point. El troyano se despliega mediante un cargador basado en Rust.
«El atacante engañó a la víctima mediante anuncios de trabajo falsos, lo que le permitió ejecutar código malicioso de PowerShell mediante la técnica de suplantación de identidad ClickFix», dijo la empresa de ciberseguridad dijo , describiendo PureCoder como el uso de un conjunto rotativo de cuentas de GitHub para alojar archivos que admiten la funcionalidad de PureRAT.
El análisis de las confirmaciones de GitHub ha revelado que la actividad se llevó a cabo desde la zona horaria UTC+ 03:00, que corresponde a muchos países, incluida Rusia, entre otros.
La noticia se produce cuando el equipo de investigaciones de DomainTools descubrió la naturaleza interconectada del panorama del ransomware ruso, identificando los movimientos de los actores de amenazas entre grupos y el uso de herramientas como AnyDesk y Quick Assist, lo que sugiere superposiciones operativas.
«La lealtad a la marca entre estos operadores es débil, y el capital humano parece ser el principal activo, más que las cepas específicas de malware», DomainTools dijo . «Los operadores se adaptan a las condiciones del mercado, se reorganizan en respuesta a las retiradas y las relaciones de confianza son fundamentales. Estas personas elegirán trabajar con personas que conocen, independientemente del nombre de la organización».