Кликнул по “бесплатному Word” — получил ACR Stealer: новая экономика пиратства
Раскрыты подробности новой кампании, в рамках которой взломанные сайты по распространению ПО использовались для распространения загрузчика.
CountLoader и GachiLoader — это не «очередные вирусы», а показатель того, как криминальный рынок окончательно превратил привычные пользовательские сценарии (пиратский софт, YouTube-ролики, Node.js, Python) в удобный конвейер для тихой доставки стилеров и постэксплойт‑инструментов. Эта история — хороший повод пересобрать представление о том, что сегодня значит «попасть на вирус» и почему классическая антивирусная модель уже не спасает.
Как работает цепочка CountLoader?
История начинается с очень житейского сюжета: человек ищет «бесплатный» Microsoft Word, попадает на сайт, кликает по ссылке и видит привычный архив на MediaFire. Внутри — Word-документ с паролем и «установщик» Setup.exe, который визуально ничем не отличается от легитимного инсталлятора.
В роли Setup.exe выступает переименованный легитимный Python-интерпретатор, настроенный на запуск вредоносной команды, которая через mshta.exe вытягивает CountLoader 3.2 с удалённого сервера.
После закрепления в системе CountLoader создаёт поддельное задание планировщика «GoogleTaskSystem136.0.7023.12» на 10 лет, запуск каждые 30 минут — классический пример маскировки под «шум» легитимных обновлений.
Перед выбором тактики persistence и взаимодействия с C2 он проверяет наличие CrowdStrike Falcon через WMI и, в зависимости от результата, меняет команду запуска (прямая mshta.exe или обёртка через cmd.exe).
Новый CountLoader — это уже не просто загрузчик, а гибкий оркестратор.
Умеет доставлять EXE, DLL (через rundll32.exe), MSI и Python‑модули из ZIP‑архивов, исполнять PowerShell‑пейлоады в памяти и удалять собственные задания в планировщике при необходимости зачистки.
Активно собирает системную информацию и научился распространяться через USB‑накопители: создаёт LNK‑ярлыки рядом с скрытыми оригинальными файлами, которые при запуске одновременно открывают «настоящий» файл и стартуют mshta.exe с параметрами C2.
В наблюдаемой кампании финальной нагрузкой выступает ACR Stealer — стилер, который вычищает конфиденциальные данные с заражённого хоста. Попытка сэкономить на лицензии превращается в полную компрометацию цифровой жизни.
YouTube Ghost Network и GachiLoader
Вторая часть сюжета — про то, как привычная лента YouTube превращается в тихий канал доставки малвари. YouTube Ghost Network — инфраструктура с десятками взломанных аккаунтов, которые заливают ролики с «полезным» софтом и ссылками в описании.
В кампании задействовано около 100 видео с суммарно ~220 000 просмотров, загруженных с 39 скомпрометированных аккаунтов, часть которых Google уже успел удалить.
Внутри цепочки сидит GachiLoader — обфусцированный загрузчик на Node.js, который проверяет окружение, старается не засветиться в песочницах и доставляет вторую стадию вроде Kidkadi или стилера Rhadamanthys.
Особый интерес вызывает техника PE‑инъекции, реализованная одной из вариаций GachiLoader.
Загрузчик подтягивает легитимную DLL и, используя Vectored Exception Handling, подменяет её на вредоносный payload — злоупотребление механизмом обработки исключений Windows как транспортом для инъекции.
На завершающем этапе GachiLoader пытается убить процесс SecHealthUI.exe (интерфейс Microsoft Defender) и прописывает исключения Defender для каталогов вроде C:\Users\, C:\ProgramData\, C:\Windows\, выводя свои артефакты из‑под базовой защиты.
Параллельно он проверяет, запущен ли с правами администратора через команду net session. Если команда падает, он инициирует перезапуск с повышением привилегий, провоцируя UAC‑диалог — жертва, уверенная, что ставит «нужный софт», вполне ожидаемо жмёт «Да».
CountLoader и GachiLoader наглядно показывают, как сместился фокус атак: злоумышленники больше не «ломятся в дверь», а встраиваются в доверенные сценарии и бинарники.
Злоупотребление легитимными компонентами: mshta.exe, PowerShell, rundll32.exe, доверенные интерпретаторы Python и DLL — всё это превращается в транспорт для малвари, а не в «подозрительные» артефакты.
Ставка на многоступенчатость и модульность: первоначальный загрузчик лишь открывает дверь, а реальный вред зависит от того, какой модуль (стилер, майнер, C2‑агент) оператор решит отправить в конкретный момент.
Атака больше не выглядит как один исполнимый файл из «тёмного угла интернета». Она больше напоминает сюжет: поиск софта, скачивание архива с популярного хостинга, ввод пароля из якобы «официального» документа, UAC‑диалог «для установки драйвера», а где‑то в фоне живёт оркестр из планировщика задач, mshta.exe, PowerShell и «невинных» LNK‑файлов на флешке.
Практические выводы для пользователей и бизнеса
История с CountLoader и GachiLoader полезна не как очередная страшилка, а как чек‑лист по построению реальной, а не декоративной защиты:
Политика «нулевой терпимости» к пиратскому ПО: это не столько юридический, сколько технический вопрос — cracked‑ресурсы сегодня встроены в экосистему доставки многоступенчатых атак.
Контроль легитимных бинарников: нужно мониторить запуск mshta.exe, rundll32.exe, PowerShell, Python/Node.js в нетипичных контекстах, особенно в связке с планировщиком задач и неизвестными URL.
Жёсткая работа с YouTube‑контентом в компании: блокировка загрузки «инсталляторов» с видеохостингов, фильтрация URL в описаниях роликов, разбор инцидентов «я скачал программу с видеоинструкции» как полноценного security‑кейса.
Защита от USB‑червей 2.0: отключение автозапуска, скрытие расширений файлов в Explorer, обучение сотрудников отличать реальные файлы от LNK‑ярлыков, контроль за появлением новых задач планировщика и аномалий на съёмных носителях.
Ставка на многоуровневую детекцию: EDR, анализ поведения, охота за подозрительными цепочками команд, а не только сигнатурный антивирус, который легко обойти за счёт обфускации и системных API.
Авторы малвари не изобретают магию, они тщательно полируют пользовательские сценарии и злоупотребляют тем, чему уже доверяют и пользователи, и операционная система. Задача защитников — научиться видеть историю целиком, а не отдельные исполняемые файлы.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.