diciembre 20, 2025
youtube-malware.jpg

Investigadores de ciberseguridad han revelado detalles de una nueva campaña que utilizó sitios de distribución de software descifrados como vector de distribución para una nueva versión de un cargador modular y sigiloso llamado CountLoader.

La campaña “aprovecha CountLoader como la primera herramienta en un ataque de múltiples etapas para acceder, evadir y entregar familias de malware adicionales”, dijo en un análisis el equipo Howler Cell Threat Intelligence de Cydere.

Previamente documentado por Fortinet y Silent Push, CountLoader detalla la capacidad del cargador para impulsar cargas útiles como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer y PureMiner. El cargador ha sido detectado en estado salvaje desde al menos junio de 2025.

La última cadena de ataques comienza cuando usuarios desprevenidos intentan descargar versiones descifradas de software legítimo como Microsoft Word, lo que resulta en que sean redirigidos a un enlace de MediaFire que aloja un archivo ZIP malicioso que contiene un archivo ZIP cifrado y un documento de Microsoft Word con la contraseña para abrir el segundo archivo.

El archivo ZIP contiene un intérprete de Python legítimo renombrado (“Setup.exe”) que se ha configurado para ejecutar un comando malicioso para obtener CountLoader 3.2 desde un servidor remoto usando “mshta.exe”.

Ciberseguridad

Para establecer la persistencia, el malware crea una tarea programada que imita a Google usando el nombre “GoogleTaskSystem136.0.7023.12” junto con una cadena similar a un identificador. Está configurado para ejecutarse cada 30 minutos durante 10 años llamando a mshta.exe con un dominio alternativo.

También verifica si la herramienta de seguridad Falcon de CrowdStrike está instalada en el host consultando la lista de antivirus a través del Instrumental de administración de Windows (WMI). Cuando se detecta el servicio, el comando de persistencia se cambia a “cmd.exe /c start /b mshta.exe”. .” De lo contrario, se accede a la URL directamente a través de “mshta.exe”.

CountLoader puede perfilar el host comprometido y recuperar la carga útil de la siguiente etapa. La última versión del malware ofrece capacidades para propagarse a través de unidades USB extraíbles y ejecutar el malware directamente en la memoria a través de mshta.exe o PowerShell. La lista completa de funciones compatibles es la siguiente:

  • Descargue y ejecute un archivo ejecutable desde una URL especificada
  • Descargue un archivo ZIP desde una URL proporcionada y ejecute un módulo basado en Python o un archivo EXE dentro de él
  • Descargue una DLL desde una URL proporcionada y ejecútela desde rundll32.exe.
  • Descargue e instale un paquete de instalación MSI
  • Eliminar una tarea programada que utiliza el cargador
  • Recopile y filtre amplia información del sistema.
  • Se propaga a través de medios extraíbles mediante la creación de accesos directos maliciosos (LNK) junto con sus homólogos originales ocultos que ejecutan el archivo original al inicio y ejecutan el malware a través de mshta.exe con un parámetro C2.
  • Inicie “mshta.exe” directamente desde una URL especificada
  • Ejecute una carga útil remota de PowerShell en la memoria

En la cadena de ataque observada por Cyderes, la carga útil final entregada por CountLoader es un ladrón de información llamado ACR Stealer, diseñado para recopilar datos confidenciales de hosts infectados.

“Esta campaña destaca la evolución continua y la creciente complejidad de CountLoader y refuerza la necesidad de una detección proactiva y estrategias de defensa en capas”, dijo Cyderes. “Su capacidad para implementar ACR Stealer a través de un proceso de varios pasos que va desde manipular la biblioteca Python hasta descomprimir el código shell en memoria destaca una tendencia creciente de abuso de binarios firmados y tácticas de ejecución sin archivos”.

YouTube Ghost Network ofrece GachiLoader

La revelación se produjo cuando Check Point reveló detalles de un nuevo cargador de malware JavaScript muy ofuscado llamado GachiLoader, escrito en Node.js. El malware se distribuye a través de YouTube Ghost Network, una red de cuentas de YouTube comprometidas que participan en la distribución de malware.

“Una variante de GachiLoader implementa un malware de segunda etapa, Kidkadi, que implementa una novedosa técnica de inyección de ejecutables portátiles (PE)”, dijeron los investigadores de seguridad Sven Rath y Jaromír Hořejší. “Esta técnica carga una DLL legítima y abusa del manejo de excepciones vectoriales para reemplazarla espontáneamente con una carga útil maliciosa”.

La campaña reportó hasta 100 videos de YouTube, que recibieron aproximadamente 220.000 visitas. Estos videos fueron subidos por 39 cuentas comprometidas, y el primer video data del 22 de diciembre de 2024. Google eliminó la mayoría de estos videos.

Ciberseguridad

En al menos un caso, GachiLoader sirvió como vector para el malware ladrón de información Rhadamanthys. Al igual que otros cargadores, GachiLoader se utiliza para implementar cargas útiles adicionales en una computadora infectada mientras realiza una serie de comprobaciones antianálisis para permanecer fuera del radar.

También verifica si se está ejecutando en un contexto elevado ejecutando el comando “net session”. Si la ejecución falla, intenta iniciarse con privilegios administrativos, lo que a su vez activa un mensaje de Control de cuentas de usuario (UAC). La probabilidad de que la víctima permita que continúe es alta, ya que es probable que el malware se distribuya mediante instaladores falsos de software popular, como se describe en el caso de CountLoader.

En la fase final, el malware intenta eliminar SecHealthUI.exe, un proceso asociado con Microsoft Defender, y configura las exclusiones de Defender para evitar que la solución de seguridad marque cargas útiles maliciosas implementadas en carpetas específicas (por ejemplo, C:\Users\, C:\ProgramData\ y C:\Windows\).

Luego, GachiLoader obtiene directamente la carga útil final de una URL remota o utiliza otro cargador llamado “kidkadi.node”, que luego carga el malware principal abusando del manejo de excepciones vectorizadas.

“El actor de amenazas detrás de GachiLoader ha demostrado su competencia con las partes internas de Windows y ha desarrollado un nuevo giro en una técnica bien conocida”, dijo Check Point. “Esto pone de relieve la necesidad de que los investigadores de seguridad se mantengan al tanto de las técnicas de malware, como las inyecciones de PE, y busquen de forma proactiva nuevas formas en que los autores de malware intenten evadir la detección”.

About The Author

desafiomayor

See author's posts

Related News

watchgaurd.jpg

WatchGuard advierte sobre la explotación activa de una vulnerabilidad VPN crítica en el sistema operativo Fireware

diciembre 19, 2025 0
hacker-arrested.jpg

Nigeria arresta a los desarrolladores de phishing de RaccoonO365 en relación con ataques a Microsoft 365

diciembre 19, 2025 0

You may have missed

GettyImages-1297183927.jpg

Netflix apuesta por que los podcasts se conviertan en el nuevo talk show diurno

diciembre 20, 2025 0
be6c26b0-dd01-11f0-af6b-76cade3d77e2.png

El Magic Mouse USB-C de Apple vuelve a la venta por 68 dólares

diciembre 20, 2025 0
Amit-Mathradas.jpg

Movimientos tecnológicos: el director ejecutivo de Nintex deja la empresa; La Fundación Raikes nombra líder; Responsable de Qualtrics ahora en Workday

diciembre 20, 2025 0
Celeste-and-Asher-Headshot-feat-Known.jpg

Known utiliza IA de voz para ayudarle a programar más citas en persona

diciembre 20, 2025 0
gettyimages-1162352103.jpg

Por qué Ancestry es el mejor kit de prueba de ADN casero en 2025

diciembre 20, 2025 0
imgi_11_asset_morphing.webp.webp

Netflix adquiere el creador de avatares de juegos Ready Player Me

diciembre 20, 2025 0