Especialistas Apontam Nova Ameaça Cibernética com CountLoader
Desde junho de 2025, uma nova campanha de cibercrime tem chamado a atenção de especialistas em segurança digital. O foco dessa ação é um malware conhecido como CountLoader, que atua como um carregador de outras ameaças maliciosas. Esse tipo de software é projetado para invadir sistemas e permitir que outros malwares sejam baixados e executados.
Como Funciona o CountLoader
A infecção se inicia em sites que oferecem programas ilegais, como versões piratas do Microsoft Office. Essa técnica exploratória visa o desejo de muitos usuários de obter software caro sem custo. Ao baixar o que acreditam ser uma versão gratuita do programa, os usuários, na verdade, estão recebendo um pacote malicioso.
O que surpreendeu os especialistas foi a maneira como os cibercriminosos empacotam o malware. Eles não enviam apenas um arquivo suspeito; a vítima baixa um arquivo compactado que contém um documento Word protegido por senha. Isso dá a falsa impressão de segurança e impede que os antivírus verifiquem o conteúdo malicioso, já que os arquivos não podem ser acessados sem a senha.
Explotação de Binários Legítimos
Uma vez que o usuário extrai o conteúdo e executa um arquivo que parece ser um instalador, o que ele realmente inicia é um interpretador Python, que é legítimo e assinado digitalmente. Por não ter sido alterado, ele passa pelas verificações de segurança. No entanto, os cibercriminosos modificaram um arquivo de biblioteca do Python para incluir um código que invoca uma ferramenta do Windows para baixar e executar o malware real, o CountLoader.
Evolução do Malware em Criptografia e Comunicação
A versão analisada do CountLoader, a 3.2, traz melhorias em relação às anteriores, incluindo um protocolo de comunicação criptografada que utiliza uma chave aleatória a cada mensagem. Isso dificulta a identificação e detecção de atividades da ameaça em redes corporativas.
Após a instalação, o CountLoader tenta estabelecer controle sobre o sistema infectado, verificando uma série de domínios para encontrar um servidor de comando e controle. Assim que estabelece a conexão, o malware coleta informações sobre o sistema, como nome do usuário, versão do sistema operacional e programas de segurança instalados. Um ponto de preocupação é que ele também busca por softwares de carteiras de criptomoedas, indicando um possível objetivo de roubo.
Mecanismos de Persistência
O malware, ao coletar dados, recebe um token que permite a comunicação contínua com os servidores de controle, criando uma tarefa agendada que o reativa automaticamente. Esse processo garante a persistência do malware, mesmo após reinicializações do computador ou encerramentos dos processos maliciosos.
Arquitetura Modular do CountLoader
O CountLoader é projetado de forma a se adaptar às necessidades dos cibercriminosos. Ele contata regularmente seus servidores perguntando quais tarefas executar. Essa flexibilidade permite que os operadores direcionem o funcionamento do malware com base nos objetivos específicos, como o roubo de credenciais de carteiras de criptomoedas.
ACR Stealer: O Golpe Final
Um dos principais objetivos dessa campanha é a instalação do ACR Stealer, um malware que rouba credenciais e informações sensíveis. O ACR Stealer é apresentado como uma variante maliciosa de um programa legítimo, sendo disfarçado para evitar detecções. Esse malware é extremamente difícil de detectar, já que opera na memória do sistema sem deixar rastros em disco.
Campanha Mirando Empresas
Pesquisadores identificaram que a campanha está em operação desde setembro de 2025, e surpreendentemente, nenhuma detecção foi registrada em serviços de segurança como o VirusTotal. Os servidores de controle são disfarçados com nomes que imitam serviços legítimos, dificultando a sua localização.
Outra Ameaça: GachiLoader
Paralelamente ao CountLoader, surgiu outro malware conhecido como GachiLoader, distribuído por meio do YouTube através de contas comprometidas. Esse malware também é sofisticado e utiliza técnicas inovadoras de injeção para executar códigos maliciosos.
Como se Proteger
Para se proteger dessas ameaças, as empresas podem implementar várias medidas de segurança:
- Detecção Baseada em Comportamento: Usar soluções que monitoram o comportamento do sistema, já que a detecção por assinatura é insuficiente.
- Monitoramento de Uso de Ferramentas Legítimas: Ficar atento ao uso anômalo de ferramentas comuns do Windows.
- Auditoria de Tarefas Agendadas: Verificar rigorosamente tarefas que possam ser maliciosas.
- Políticas de Execução Rigorosas: Permitir apenas software aprovado nos sistemas.
- Educação dos Usuários: Promover treinamentos sobre os riscos de baixar softwares piratas.
Essas medidas são essenciais para fortalecer a segurança e prevenir infecções por malware, se tornando uma camada importante de defesa contra ameaças cibernéticas.
