Хакеры распространяют вирусы CountLoader и GachiLoader через модифицированные программы и YouTube-ролики

Специалисты раскрыли детали новой хакерской кампании, в которой вредоносные цепочки распространяются через взломанные сайты с программным обеспечением, маскирующимся под легитимные дистрибутивы. Центральным элементом атаки стал скрытный загрузчик CountLoader, появившийся в сетевой среде не позже июня 2025 года. Ранее его уже связывали с поставкой вредоносных компонентов Cobalt Strike, PureMiner, AdaptixC2 и других средств удалённого доступа и кражи данных.

По информации аналитиков из группы Cyderes Howler Cell Threat Intelligence, атака строится по многоступенчатому сценарию. Первичный доступ обеспечивается через CountLoader, который выполняет роль стартовой платформы для дальнейшего проникновения, обхода защитных механизмов и установки дополнительных программ. В последней версии этот инструмент поставляется пользователям, которые пытаются загрузить взломанные версии популярных приложений — в том числе Microsoft Word.

Жертва получает ссылку на хостинг MediaFire, где размещён архив с двумя вложениями. Первый файл — зашифрованный ZIP-документ, второй — текстовый файл с паролем и логотипами легитимных компаний. После распаковки оказывается, что внутри содержится исполняемый файл с именем «Setup.exe», имитирующий установку Python, но фактически настроенный на активацию загрузчика через системную утилиту «mshta.exe», подключающуюся к удалённому ресурсу.

Дополнительно CountLoader создаёт в системе фоновую задачу, которая позволяет вредоносному процессу регулярно активироваться. Название задачи — «GoogleTaskSystem136.0.7023.12» — намеренно оформлено под формат обновлений известных приложений. Она запускается каждые 30 минут на протяжении последующего десятилетия и использует вызов той же утилиты «mshta.exe» с указанием резервного домена, даже если основной сервер недоступен.

Особенность кампании — наличие механизма проверки присутствия антивирусных решений, в частности CrowdStrike Falcon. Сканирование производится с использованием инструментария Windows Management Instrumentation (WMI), позволяющего запрашивать сведения о безопасности без создания подозрительных процессов. Если средство защиты обнаружено, загрузчик меняет команду запуска на менее заметную, используя «cmd.exe» и параметры, имитирующие системную активность.

По оценке специалистов, данная кампания представляет собой дальнейшее развитие техники, ранее зафиксированной компаниями Fortinet и Silent Push. Подобные методы всё чаще используют платформы видеохостинга — в частности, ролики на YouTube с фальшивыми инструкциями по установке ПО. Ссылки в описаниях ведут на архивы, содержащие аналогичные цепочки заражения. Такие материалы оформлены правдоподобно: снабжены голосом диктора, логотипами и высокими просмотрами, что делает их особенно опасными для неподготовленных пользователей.