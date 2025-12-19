Злоумышленники начали использовать сайты с пиратским ПО и популярные видеоплатформы для распространения вредоносных загрузчиков CountLoader и GachiLoader. Об этом сообщает Anti-Malware.

По данным аналитиков, текущая кампания строится вокруг CountLoader — модульного инструмента, применяемого в качестве начального этапа многоступенчатых атак. Для заражения достаточно попытаться загрузить "крякнутую" версию популярного ПО. Пользователя перенаправляют на файлообменник, где размещен архив с дополнительным зашифрованным содержимым и документом с паролем. После распаковки запускается исполняемый файл, замаскированный под установщик, который загружает вредоносный код с удаленного сервера.

Для закрепления в системе CountLoader маскируется под системный процесс, который может выполняться с высокой периодичностью на протяжении многих лет. Загрузчик также анализирует установленное защитное ПО и при обнаружении отдельных решений меняет поведение, снижая риск выявления. Далее он собирает сведения о системе и подготавливает запуск следующего этапа атаки.

Эксперты отмечают, что новая версия CountLoader получила расширенные возможности, включая запуск различных типов файлов, выполнение кода в памяти, распространение через USB-накопители, сбор детальной телеметрии и удаление следов активности. В одном из задокументированных случаев конечной нагрузкой стал стилер ACR Stealer, предназначенный для кражи конфиденциальных данных.

Специалисты Check Point в свою очередь сообщили о другой вредоносной кампании с использованием GachiLoader — загрузчика, распространяемого через сеть взломанных YouTube-аккаунтов. Злоумышленники публиковали видеоролики со ссылками на вредоносные "установщики" популярного софта. Всего было выявлено около ста таких видео, которые суммарно набрали свыше 220 тыс. просмотров. Значительная часть контента уже удалена Google.

GachiLoader способен обходить механизмы защиты, проверять наличие прав администратора и предпринимать попытки отключения компонентов Microsoft Defender. В одном из случаев он использовался для доставки стилера Rhadamanthys.