بدأ المهاجمون في استخدام مواقع البرامج المقرصنة ومنصات الفيديو الشهيرة لتوزيع تنزيلات CountLoader وGachiLoader الضارة. تم الإبلاغ عن ذلك بواسطة Anti-Malware.
وفقًا للمحللين، فإن الحملة الحالية مبنية على CountLoader، وهي أداة معيارية تستخدم كمرحلة أولى من الهجمات متعددة المراحل. للإصابة بالعدوى، ما عليك سوى محاولة تنزيل نسخة “متصدعة” من البرنامج الشهير. تتم إعادة توجيه المستخدم إلى خدمة استضافة الملفات، التي تحتوي على أرشيف يحتوي على محتوى مشفر إضافي ومستندات بكلمات مرور. بمجرد استخراجه، يتم تشغيل ملف قابل للتنفيذ، متخفيًا في هيئة مثبت، ويقوم بتنزيل تعليمات برمجية ضارة من خادم بعيد.
للحصول على موطئ قدم في النظام، يتنكر CountLoader كعملية نظام يمكن تنفيذها بتردد عالٍ لسنوات عديدة. يقوم المُحمل أيضًا بتحليل برامج الأمان المثبتة، وعندما يكتشف حلولًا فردية، فإنه يغير سلوكه، مما يقلل من مخاطر الاكتشاف. وبعد ذلك، يقوم بجمع معلومات حول النظام والاستعداد لبدء المرحلة التالية من الهجوم.
لاحظ الخبراء أن الإصدار الجديد من CountLoader قد وسع قدراته، بما في ذلك إطلاق أنواع مختلفة من الملفات، وتنفيذ التعليمات البرمجية في الذاكرة، والتسليم عبر محركات أقراص USB، وجمع بيانات القياس عن بعد التفصيلية، ومحو آثار النشاط. في إحدى الحالات الموثقة، كانت الحمولة النهائية عبارة عن برنامج ACR Stealer المصمم لسرقة البيانات الحساسة.
أبلغ خبراء Check Point بدورهم عن حملة ضارة أخرى باستخدام GachiLoader، وهو برنامج تنزيل يتم توزيعه عبر شبكة من حسابات YouTube المخترقة. نشر المهاجمون مقاطع فيديو تحتوي على روابط إلى “مثبتات” ضارة لبرامج شائعة. في المجموع، تم تحديد حوالي مائة مقاطع فيديو من هذا القبيل، والتي تلقت في المجموع أكثر من 220 ألف مشاهدة. تمت إزالة جزء كبير من المحتوى بواسطة Google.
يتمتع GachiLoader بالقدرة على تجاوز آليات الأمان والتحقق من الحقوق الإدارية ومحاولة تعطيل مكونات Microsoft Defender. وفي إحدى الحالات، تم استخدامه لتسليم Rhadamanthys المسروقة.