Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware CountLoader

Malware CountLoader

Por Mezo en Software malicioso
Traducir a:

Analistas de ciberseguridad han descubierto una nueva campaña de distribución de malware que aprovecha sitios web que ofrecen software pirateado para difundir una versión actualizada de un cargador modular encubierto conocido como CountLoader. Al aprovecharse de usuarios que buscan aplicaciones pirateadas, los operadores obtienen una posición inicial que les permite el acceso sigiloso, la evasión de defensas y la distribución escalonada de herramientas maliciosas adicionales.

El papel de CountLoader en una intrusión de múltiples etapas

En esta campaña, CountLoader funciona como el primer componente de una cadena de ataque más amplia. Investigaciones anteriores ya habían demostrado la capacidad del cargador para desplegar diversas cargas útiles secundarias, como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer y PureMiner. La evidencia sugiere que CountLoader se ha utilizado activamente en ataques reales desde al menos junio de 2025, lo que subraya su madurez y desarrollo continuo.

De las descargas falsas a la ejecución silenciosa

La secuencia de infección comienza cuando las víctimas intentan descargar versiones pirateadas de software legítimo, como Microsoft Word. En lugar de recibir la aplicación prometida, son redirigidos a un archivo ZIP alojado en MediaFire. Este archivo contiene dos elementos clave: un archivo ZIP cifrado y un documento de Word que proporciona la contraseña necesaria para abrirlo.

Dentro del archivo protegido se encuentra un intérprete legítimo de Python, renombrado como Setup.exe. Este ejecutable está configurado para ejecutar un comando malicioso que utiliza mshta.exe para recuperar la versión 3.2 de CountLoader desde un servidor remoto, iniciando así la vulneración de forma silenciosa.

Persistencia a través del engaño y conciencia ambiental

Para garantizar el acceso a largo plazo, el malware establece persistencia mediante la creación de una tarea programada diseñada para parecer legítima. Adopta el nombre "GoogleTaskSystem136.0.7023.12" seguido de una cadena que simula un identificador único. Esta tarea está configurada para ejecutarse cada 30 minutos durante una década, invocando mshta.exe y recurriendo a un dominio de respaldo si es necesario.

Antes de finalizar su mecanismo de persistencia, CountLoader comprueba el sistema para detectar la presencia de un producto de seguridad específico consultando el inventario antivirus a través de Instrumental de Administración de Windows (WMI). Si se detecta la herramienta, el cargador modifica sutilmente su método de ejecución para usar cmd.exe /c start /b mshta.exe. De lo contrario, contacta directamente con la URL remota mediante mshta.exe, minimizando la fricción y las sospechas.

Capacidades en expansión y funciones modulares

Una vez establecido, CountLoader perfila el host infectado y recupera cargas útiles adicionales según sea necesario. La versión más reciente incorpora nuevas funciones, como la capacidad de propagarse a través de unidades USB extraíbles y ejecutar código malicioso directamente en la memoria mediante mshta.exe o PowerShell. Entre las funciones compatibles se incluyen:

  • Recuperar y ejecutar archivos ejecutables desde URL remotas
  • Descargar archivos ZIP y ejecutar módulos Python integrados o archivos EXE
  • Obtener archivos DLL y ejecutarlos mediante rundll32.exe
  • Descargar e instalar paquetes MSI
  • Eliminar su propia tarea programada para reducir los rastros forenses
  • Recopilación y exfiltración de información detallada del sistema
  • Se propaga a través de medios extraíbles mediante la creación de archivos LNK maliciosos junto con originales ocultos, que ejecutan tanto el archivo legítimo como el malware a través de mshta.exe con parámetros de Comando y Control.
  • Invocar directamente mshta.exe contra URL controladas por el atacante
  • Ejecución de cargas útiles remotas de PowerShell completamente en la memoria

La carga útil final: ACR Stealer

En la cadena de ataque observada, CountLoader finalmente distribuyó ACR Stealer, un malware que roba información y está diseñado para extraer datos confidenciales de los sistemas comprometidos. Esta etapa final transforma un señuelo inicial con software pirateado en una operación de robo de datos a gran escala.

Lo que esta campaña significa para los defensores

Esta operación demuestra la continua evolución y creciente sofisticación de CountLoader. La combinación de abuso del intérprete de Python, enmascaramiento de tareas programadas, uso indebido de binarios firmados y ejecución en memoria sin archivos refleja una tendencia general hacia técnicas de intrusión más sigilosas. Para los defensores, la campaña refuerza la importancia de la monitorización proactiva, los controles de seguridad por capas y la concienciación de los usuarios, especialmente sobre los riesgos de descargar software no autorizado o pirateado.

Tendencias

Estafa por correo electrónico de suspensión de...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes suelen abusar de términos y servicios técnicos confiables para que sus estafas parezcan creíbles. La estafa del correo electrónico de suspensión de cuenta de cPanel es un claro ejemplo de esta táctica, que utiliza un lenguaje alarmante para presionar a los destinatarios a actuar con rapidez. Estos correos electrónicos son totalmente fraudulentos y no están asociados con...

Mas Visto

Cargando...