Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Cracked Software and YouTube Videos Spread CountLoader and GachiLoader Malware

2 minute de lecture

Mis à jour :

Menace Logicielle : CountLoader et GachiLoader Exploités

Des campagnes de logiciels malveillants, CountLoader et GachiLoader, exploitent des vidéos YouTube compromises et des sites de distribution de logiciels piratés pour infecter les utilisateurs.

CountLoader : Une Évolution Sophistiquée

CountLoader, un chargeur malveillant modulaire et furtif, a été mis à jour et est désormais distribué via des sites proposant des logiciels piratés. L’attaque commence par le téléchargement de versions piratées de logiciels légitimes, redirigeant les utilisateurs vers des archives malveillantes contenant CountLoader 3.2. Celui-ci établit une persistance en créant une tâche planifiée ressemblant à un processus légitime de Google et vérifie la présence de solutions de sécurité comme CrowdStrike Falcon.

  • Capacités de CountLoader :
    • Téléchargement et exécution d’exécutables, de fichiers ZIP (contenant des modules Python ou des exécutables) et de DLLs.
    • Installation de packages MSI.
    • Suppression de tâches planifiées.
    • Collecte et exfiltration de données système.
    • Propagation via des supports amovibles (création de raccourcis malveillants).
    • Exécution de code en mémoire via mshta.exe ou PowerShell.
  • Charge Utile Finale Observée : ACR Stealer, un logiciel conçu pour voler des informations sensibles.

GachiLoader : L’Obscurité sur YouTube

GachiLoader est un nouveau chargeur malveillant écrit en Node.js, largement obfusqué et distribué via un réseau de comptes YouTube compromis (“YouTube Ghost Network”). Une centaine de vidéos ont été identifiées dans cette campagne, cumulant environ 220 000 vues. GachiLoader déploie des charges utiles supplémentaires, notamment le logiciel espion Rhadamanthys.

  • Technique d’Injection Innovante : Une variante de GachiLoader utilise le malware Kidkadi pour injecter du code malveillant en exploitant la gestion des exceptions vectorisées (Vectored Exception Handling) pour remplacer une DLL légitime à la volée.
  • Évitement de la Détection : GachiLoader tente de désactiver des processus comme SecHealthUI.exe (associé à Microsoft Defender) et configure des exclusions pour éviter la détection par ce dernier.

Vulnérabilités et Recommandations :

Bien que l’article ne mentionne pas de CVE spécifiques, il met en évidence les tactiques d’attaque courantes :

  • Distribution via des sources non fiables : Logiciels piratés et liens suspects.
  • Abus de binaires signés et exécution sans fichier : Techniques pour échapper aux protections.
  • Ingénierie sociale : Utilisation de vidéos YouTube populaires ou de faux installateurs pour inciter les utilisateurs à agir.

Recommandations Générales :

  • Prudence avec les téléchargements : Éviter de télécharger des logiciels à partir de sources non officielles et non fiables.
  • Mises à jour régulières : Maintenir le système d’exploitation et les logiciels à jour pour corriger les vulnérabilités connues.
  • Solutions de sécurité robustes : Utiliser et maintenir à jour un logiciel antivirus et anti-malware fiable.
  • Vigilance face aux invites UAC : Examiner attentivement les demandes d’élévation de privilèges.
  • Sensibilisation : Être conscient des risques liés aux liens suspects et aux contenus provenant de sources inconnues.
  • Surveillance des activités suspectes : Être attentif aux comportements inhabituels du système.

Source

Vous pourriez aimer