پژوهشگران امنیت سایبری از شناسایی کارزار بدافزاری تازهای خبر دادهاند که در آن، مهاجمان با استفاده از نرمافزارهای کرکشده و ویدئوهای یوتیوب، بدافزارهایی پیچیده را روی سیستم کاربران نصب میکنند.
به گزارش افتانا، پژوهشگران امنیت سایبری از شناسایی یک کارزار بدافزاری جدید خبر دادهاند که در آن، نسخههای کرکشده نرمافزارها و حتی ویدئوهای یوتیوب برای انتشار بدافزارهایی به نام CountLoader و GachiLoader مورد سوءاستفاده قرار گرفتهاند. به گفته کارشناسان، این بدافزارها بهعنوان ابزار اولیه نفوذ عمل کرده و زمینه را برای اجرای حملات چندمرحلهای و نصب بدافزارهای مخربتر فراهم میکنند.
بر اساس گزارش تیم اطلاعات تهدید Cyderes Howler Cell، در این حملات از CountLoader بهعنوان نخستین مرحله برای دسترسی، پنهانکاری و تحویل بدافزارهای دیگر استفاده شده است. این بدافزار که دستکم از ژوئن ۲۰۲۵ در فضای واقعی شناسایی شده، پیشتر نیز توسط شرکتهای Fortinet و Silent Push بررسی شده بود و توانایی نصب ابزارهایی مانند Cobalt Strike، بدافزارهای جاسوسی، سرقت اطلاعات و استخراج رمزارز را دارد. در سناریوی جدید، کاربران با دانلود نسخههای کرکشده نرمافزارهایی مانند Microsoft Word به لینکهای آلوده هدایت میشوند که در نهایت به اجرای یک نسخه دستکاریشده از مفسر پایتون و دانلود نسخه جدید CountLoader منجر میشود.
این بدافزار برای ماندگاری در سیستم، یک وظیفه زمانبندیشده در ویندوز ایجاد میکند که نام آن شبیه سرویسهای گوگل انتخاب شده و هر ۳۰ دقیقه برای سالها اجرا میشود. CountLoader همچنین بررسی میکند که آیا ابزار امنیتی Falcon متعلق به شرکت CrowdStrike روی سیستم نصب شده یا خیر و در صورت شناسایی، رفتار خود را برای دور زدن شناسایی تغییر میدهد. نسخه جدید این بدافزار قابلیتهای بیشتری از جمله انتشار از طریق حافظههای USB، اجرای مستقیم کد در حافظه، سرقت گسترده اطلاعات سیستم و دریافت و اجرای انواع فایلهای اجرایی، DLL، MSI و اسکریپتهای PowerShell را به خود اضافه کرده است. در حملات مشاهدهشده، مرحله نهایی این زنجیره به نصب بدافزار سرقت اطلاعات ACR Stealer منتهی شده است.
در بخش دیگری از این گزارش، شرکت Check Point نیز از شناسایی بدافزار جدیدی به نام GachiLoader خبر داده است؛ یک لودر مخرب مبتنی بر JavaScript و Node.js که از طریق شبکهای از حسابهای هکشده یوتیوب، موسوم به «شبکه شبح یوتیوب»، منتشر میشود. این حسابها با انتشار ویدئوهای ظاهراً عادی، کاربران را به دانلود فایلهای آلوده ترغیب میکنند. کارشناسان امنیتی هشدار دادهاند که این روند نشاندهنده افزایش استفاده مهاجمان از روشهای بدون فایل، سوءاستفاده از برنامههای معتبر و پلتفرمهای پرمخاطب برای گسترش بدافزارهاست.
