کمیته رکن چهارم – پژوهشهای جدید دو کمپین پیشرفته توزیع بدافزار را فاش کردهاند که از طریق نرمافزارهای کرکشده و ویدیوهای یوتیوب، کاربران را هدف قرار میدهند. این حملات شامل بدافزار CountLoader و GachiLoader هستند که با بهرهگیری از تکنیکهای پیچیده و اجرای بدون فایل، کنترل کامل بر سیستم قربانی به دست میآورند.
به گزارش کمیته رکن چهارم، بدافزار CountLoader از طریق فایلهای ZIP آلوده توزیع میشود که حاوی مفسر Python قانونی و دستورات مخرب mshta.exe برای بارگذاری ACR Stealer هستند. این بدافزار از روشهایی مانند ساخت تسک زمانبندیشده، بررسی آنتیویروس و انتشار از طریق USB برای ماندگاری و گسترش استفاده میکند.
همزمان، بدافزار GachiLoader از طریق شبکهای از اکانتهای هکشده یوتیوب منتشر میشود و با استفاده از زبان Node.js و تکنیک تزریق PE با Vectored Exception Handling، بار نهایی را اجرا میکند. این کمپین تاکنون بیش از ۲۲۰٬۰۰۰ بازدید را از طریق حدود ۱۰۰ ویدیو در ۳۹ کانال جذب کرده است.
تحلیلها نشان میدهند که مهاجمان از ابزارهای قانونی مانند PowerShell، Python و فایلهای امضاشده برای عبور از شناسایی امنیتی بهره میبرند و در عین حال با طراحی حرفهای فایلها و تبلیغات، اعتماد کاربران را جلب میکنند. کاربران باید از دانلود نرمافزارهای کرکشده پرهیز کرده و به تبلیغات نصبکنندههای مشکوک در یوتیوب اعتماد نکنند. همچنین، نظارت بر فعالیت mshta.exe و PowerShell به عنوان اقدامات پیشگیرانه توصیه میشود.
