Раскрыты подробности новой кампании, в рамках которой взломанные сайты по распространению ПО использовались для распространения загрузчика.
CountLoader и GachiLoader — это не «очередные вирусы», а показатель того, как криминальный рынок окончательно превратил привычные пользовательские сценарии (пиратский софт, YouTube-ролики, Node.js, Python) в удобный конвейер для тихой доставки стилеров и постэксплойт‑инструментов. Эта история — хороший повод пересобрать представление о том, что сегодня значит «попасть на вирус» и почему классическая антивирусная модель уже не спасает.
Как работает цепочка CountLoader?
История начинается с очень житейского сюжета: человек ищет «бесплатный» Microsoft Word, попадает на сайт, кликает по ссылке и видит привычный архив на MediaFire. Внутри — Word-документ с паролем и «установщик» Setup.exe, который визуально ничем не отличается от легитимного инсталлятора.
Новый CountLoader — это уже не просто загрузчик, а гибкий оркестратор.
В наблюдаемой кампании финальной нагрузкой выступает ACR Stealer — стилер, который вычищает конфиденциальные данные с заражённого хоста. Попытка сэкономить на лицензии превращается в полную компрометацию цифровой жизни.
YouTube Ghost Network и GachiLoader
Вторая часть сюжета — про то, как привычная лента YouTube превращается в тихий канал доставки малвари. YouTube Ghost Network — инфраструктура с десятками взломанных аккаунтов, которые заливают ролики с «полезным» софтом и ссылками в описании.
Особый интерес вызывает техника PE‑инъекции, реализованная одной из вариаций GachiLoader.
Параллельно он проверяет, запущен ли с правами администратора через команду net session. Если команда падает, он инициирует перезапуск с повышением привилегий, провоцируя UAC‑диалог — жертва, уверенная, что ставит «нужный софт», вполне ожидаемо жмёт «Да».
CountLoader и GachiLoader наглядно показывают, как сместился фокус атак: злоумышленники больше не «ломятся в дверь», а встраиваются в доверенные сценарии и бинарники.
Атака больше не выглядит как один исполнимый файл из «тёмного угла интернета». Она больше напоминает сюжет: поиск софта, скачивание архива с популярного хостинга, ввод пароля из якобы «официального» документа, UAC‑диалог «для установки драйвера», а где‑то в фоне живёт оркестр из планировщика задач, mshta.exe, PowerShell и «невинных» LNK‑файлов на флешке.
Практические выводы для пользователей и бизнеса
История с CountLoader и GachiLoader полезна не как очередная страшилка, а как чек‑лист по построению реальной, а не декоративной защиты:
Авторы малвари не изобретают магию, они тщательно полируют пользовательские сценарии и злоупотребляют тем, чему уже доверяют и пользователи, и операционная система. Задача защитников — научиться видеть историю целиком, а не отдельные исполняемые файлы.
CountLoader и GachiLoader — это не «очередные вирусы», а показатель того, как криминальный рынок окончательно превратил привычные пользовательские сценарии (пиратский софт, YouTube-ролики, Node.js, Python) в удобный конвейер для тихой доставки стилеров и постэксплойт‑инструментов. Эта история — хороший повод пересобрать представление о том, что сегодня значит «попасть на вирус» и почему классическая антивирусная модель уже не спасает.
Как работает цепочка CountLoader?
История начинается с очень житейского сюжета: человек ищет «бесплатный» Microsoft Word, попадает на сайт, кликает по ссылке и видит привычный архив на MediaFire. Внутри — Word-документ с паролем и «установщик» Setup.exe, который визуально ничем не отличается от легитимного инсталлятора.
- В роли Setup.exe выступает переименованный легитимный Python-интерпретатор, настроенный на запуск вредоносной команды, которая через mshta.exe вытягивает CountLoader 3.2 с удалённого сервера.
- После закрепления в системе CountLoader создаёт поддельное задание планировщика «GoogleTaskSystem136.0.7023.12» на 10 лет, запуск каждые 30 минут — классический пример маскировки под «шум» легитимных обновлений.
- Перед выбором тактики persistence и взаимодействия с C2 он проверяет наличие CrowdStrike Falcon через WMI и, в зависимости от результата, меняет команду запуска (прямая mshta.exe или обёртка через cmd.exe).
Новый CountLoader — это уже не просто загрузчик, а гибкий оркестратор.
- Умеет доставлять EXE, DLL (через rundll32.exe), MSI и Python‑модули из ZIP‑архивов, исполнять PowerShell‑пейлоады в памяти и удалять собственные задания в планировщике при необходимости зачистки.
- Активно собирает системную информацию и научился распространяться через USB‑накопители: создаёт LNK‑ярлыки рядом с скрытыми оригинальными файлами, которые при запуске одновременно открывают «настоящий» файл и стартуют mshta.exe с параметрами C2.
В наблюдаемой кампании финальной нагрузкой выступает ACR Stealer — стилер, который вычищает конфиденциальные данные с заражённого хоста. Попытка сэкономить на лицензии превращается в полную компрометацию цифровой жизни.
YouTube Ghost Network и GachiLoader
Вторая часть сюжета — про то, как привычная лента YouTube превращается в тихий канал доставки малвари. YouTube Ghost Network — инфраструктура с десятками взломанных аккаунтов, которые заливают ролики с «полезным» софтом и ссылками в описании.
- В кампании задействовано около 100 видео с суммарно ~220 000 просмотров, загруженных с 39 скомпрометированных аккаунтов, часть которых Google уже успел удалить.
- Внутри цепочки сидит GachiLoader — обфусцированный загрузчик на Node.js, который проверяет окружение, старается не засветиться в песочницах и доставляет вторую стадию вроде Kidkadi или стилера Rhadamanthys.
Особый интерес вызывает техника PE‑инъекции, реализованная одной из вариаций GachiLoader.
- Загрузчик подтягивает легитимную DLL и, используя Vectored Exception Handling, подменяет её на вредоносный payload — злоупотребление механизмом обработки исключений Windows как транспортом для инъекции.
- На завершающем этапе GachiLoader пытается убить процесс SecHealthUI.exe (интерфейс Microsoft Defender) и прописывает исключения Defender для каталогов вроде C:\Users\, C:\ProgramData\, C:\Windows\, выводя свои артефакты из‑под базовой защиты.
Параллельно он проверяет, запущен ли с правами администратора через команду net session. Если команда падает, он инициирует перезапуск с повышением привилегий, провоцируя UAC‑диалог — жертва, уверенная, что ставит «нужный софт», вполне ожидаемо жмёт «Да».
CountLoader и GachiLoader наглядно показывают, как сместился фокус атак: злоумышленники больше не «ломятся в дверь», а встраиваются в доверенные сценарии и бинарники.
- Злоупотребление легитимными компонентами: mshta.exe, PowerShell, rundll32.exe, доверенные интерпретаторы Python и DLL — всё это превращается в транспорт для малвари, а не в «подозрительные» артефакты.
- Ставка на многоступенчатость и модульность: первоначальный загрузчик лишь открывает дверь, а реальный вред зависит от того, какой модуль (стилер, майнер, C2‑агент) оператор решит отправить в конкретный момент.
Атака больше не выглядит как один исполнимый файл из «тёмного угла интернета». Она больше напоминает сюжет: поиск софта, скачивание архива с популярного хостинга, ввод пароля из якобы «официального» документа, UAC‑диалог «для установки драйвера», а где‑то в фоне живёт оркестр из планировщика задач, mshta.exe, PowerShell и «невинных» LNK‑файлов на флешке.
Практические выводы для пользователей и бизнеса
История с CountLoader и GachiLoader полезна не как очередная страшилка, а как чек‑лист по построению реальной, а не декоративной защиты:
- Политика «нулевой терпимости» к пиратскому ПО: это не столько юридический, сколько технический вопрос — cracked‑ресурсы сегодня встроены в экосистему доставки многоступенчатых атак.
- Контроль легитимных бинарников: нужно мониторить запуск mshta.exe, rundll32.exe, PowerShell, Python/Node.js в нетипичных контекстах, особенно в связке с планировщиком задач и неизвестными URL.
- Жёсткая работа с YouTube‑контентом в компании: блокировка загрузки «инсталляторов» с видеохостингов, фильтрация URL в описаниях роликов, разбор инцидентов «я скачал программу с видеоинструкции» как полноценного security‑кейса.
- Защита от USB‑червей 2.0: отключение автозапуска, скрытие расширений файлов в Explorer, обучение сотрудников отличать реальные файлы от LNK‑ярлыков, контроль за появлением новых задач планировщика и аномалий на съёмных носителях.
- Ставка на многоуровневую детекцию: EDR, анализ поведения, охота за подозрительными цепочками команд, а не только сигнатурный антивирус, который легко обойти за счёт обфускации и системных API.
Авторы малвари не изобретают магию, они тщательно полируют пользовательские сценарии и злоупотребляют тем, чему уже доверяют и пользователи, и операционная система. Задача защитников — научиться видеть историю целиком, а не отдельные исполняемые файлы.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь