CountLoader Expande Operações de Ransomware Russo com Carregador de Malware Multi-Versão

Pesquisadores de segurança cibernética descobriram um novo carregador de malware chamado CountLoader, utilizado por grupos russos de ransomware para entregar ferramentas pós-exploração como Cobalt Strike e AdaptixC2, além do trojan de acesso remoto PureHVNC RAT.

O CountLoader aparece em três versões diferentes (.NET, PowerShell e JavaScript) e foi observado em campanhas direcionando indivíduos na Ucrânia usando iscas de phishing baseadas em PDF que se passam pela Polícia Nacional da Ucrânia.

A versão JavaScript é a implementação mais completa, oferecendo seis métodos diferentes para download de arquivos, três métodos para execução de binários maliciosos e função pré-definida para identificar dispositivos das vítimas. O malware também coleta informações do sistema, estabelece persistência criando tarefas agendadas e se conecta a servidores remotos para receber instruções.

A infraestrutura de suporte inclui mais de 20 domínios únicos, servindo como conduit para Cobalt Strike, AdaptixC2 e PureHVNC RAT. Campanhas recentes distribuindo PureHVNC RAT utilizaram a técnica de engenharia social ClickFix, atraindo vítimas através de falsas ofertas de emprego.

Análises revelam que o cenário de ransomware russo é interconectado, com operadores movendo-se entre grupos e usando ferramentas como AnyDesk e Quick Assist, indicando sobreposições operacionais. A lealdade à marca entre esses operadores é fraca, com o capital humano sendo o principal ativo em vez de cepas específicas de malware.