Software e Video di YouTube Diffondono Malware CountLoader e GachiLoader

Risultati della ricerca sulla sicurezza informatica
I ricercatori di sicurezza informatica hanno scoperto un nuovo tipo di malware chiamato CountLoader, che viene distribuito attraverso siti web di software crackati. Il malware è in grado di scaricare e eseguire ulteriore malware, tra cui l’Acr Stealer, che può rubare dati sensibili dagli host infettati.

Come funziona il malware
Il malware funziona in più fasi: prima, gli utenti vengono reindirizzati a un link di MediaFire che contiene un archivio ZIP dannoso; successivamente, il malware crea una task pianificata per eseguire il comando mshta.exe, che a sua volta scarica e esegue il malware CountLoader. Il malware è in grado di profiliare l’host e scaricare ulteriore malware, e può anche propagarsi attraverso dispositivi USB.

Caratteristiche del malware
Le caratteristiche del malware CountLoader includono:

• Scaricare e eseguire un file eseguibile da un URL specificato
• Scaricare e eseguire un archivio ZIP da un URL specificato
• Scaricare e eseguire un file DLL da un URL specificato
• Installare un pacchetto di installazione MSI
• Rimuovere una task pianificata utilizzata dal malware
• Raccogliere e esfiltrare informazioni di sistema
• Propagarsi attraverso dispositivi USB

Altra minaccia: GachiLoader
Un’altra minaccia è stata scoperta, chiamata GachiLoader, che viene distribuita attraverso la rete YouTube Ghost Network. Il malware è scritto in Node.js e può eseguire ulteriore malware, come il Kidkadi, che implementa una tecnica di iniezione di codice dannoso. La minaccia è in grado di verificare se sta eseguendo in un contesto elevato e può configurare esclusioni per Microsoft Defender per evitare la rilevazione di payload dannosi.