Il panorama delle minacce informatiche è stato recentemente scosso dalla scoperta di CountLoader, un nuovo malware loader utilizzato da gang ransomware russe per distribuire strumenti avanzati come Cobalt Strike, AdaptixC2 e il trojan di accesso remoto PureHVNC RAT. CountLoader si distingue per la sua versatilità, essendo stato individuato in tre varianti distinte: .NET, PowerShell e JavaScript. Queste versioni sono state impiegate in campagne di phishing contro utenti ucraini, mascherandosi da comunicazioni ufficiali della polizia nazionale tramite allegati PDF malevoli.

Caratteristiche della versione JavaScript

La versione JavaScript di CountLoader è particolarmente sofisticata e offre sei diversi metodi per scaricare file e tre tecniche per eseguire binari malevoli, oltre a una funzione per identificare il dispositivo vittima tramite le informazioni sul dominio Windows. Tra le capacità principali spiccano la raccolta di informazioni di sistema, la persistenza tramite la creazione di attività pianificate (che imitano gli aggiornamenti di Chrome) e la connessione a server remoti per ricevere ulteriori comandi.

Metodi di download e tecniche di evasione

I metodi di download sfruttati da CountLoader includono strumenti nativi di Windows come curl, PowerShell, MSXML2.XMLHTTP, WinHTTP.WinHttpRequest.5.1, bitsadmin e certutil. L’uso di questi LOLBins (Living Off the Land Binaries) e la generazione dinamica di comandi PowerShell crittografati evidenziano l’approfondita conoscenza del funzionamento interno di Windows da parte degli sviluppatori del malware.

Caratteristiche aggiuntive e varianti

Una caratteristica degna di nota è l’utilizzo della cartella Music come area di staging per i payload malevoli. La variante .NET condivide alcune funzioni della versione JavaScript ma supporta solo due tipi di comandi, suggerendo una versione più leggera.

Infrastruttura e strategie di distribuzione

L’infrastruttura di CountLoader si basa su oltre 20 domini unici, fungendo da tramite per la diffusione di malware come Cobalt Strike, AdaptixC2 e PureHVNC RAT. Quest’ultimo, sviluppato da un attore conosciuto come PureCoder, è precursore di minacce come PureRAT e ResolverRAT. Le recenti campagne di distribuzione di PureHVNC RAT hanno adottato tecniche di ingegneria sociale come ClickFix, attirando le vittime con false offerte di lavoro e sfruttando un loader scritto in Rust.

Collaborazioni e resilienza delle gang ransomware

Le indagini hanno evidenziato sovrapposizioni operative tra i gruppi ransomware russi, con scarsa fedeltà al brand e una forte enfasi sulle relazioni umane piuttosto che sulle singole famiglie di malware. I gruppi si riorganizzano agilmente dopo i takedown e collaborano tra individui fidati, dimostrando una notevole resilienza e adattabilità nel panorama del cybercrime globale.