Campanhas distintas exploram instaladores falsos, contas comprometidas no YouTube, execução sem arquivo evidente, persistência agendada e evasão contra ferramentas de segurança no Windows.
| Componente | CountLoader 3.2, GachiLoader em Node.js, ACR Stealer, Rhadamanthys e o segundo estágio Kidkadi |
| Vetor | downloads de software crackeado redirecionados para arquivo ZIP malicioso e vídeos publicados por contas do YouTube comprometidas |
| Impacto | perfilamento do host, entrega de payloads adicionais, roubo de informações por stealers e tentativa de reduzir a visibilidade de produtos de segurança |
| Prioridade | bloquear execução de instaladores não confiáveis, monitorar abuso de comando operacional omitido, tarefas agendadas suspeitas, exclusões no Defender e cadeias vindas de arquivos ZIP |
| Artefatos | intérprete Python legítimo renomeado como Setup.exe, tarefa GoogleTaskSystem136.0.7023.12, uso de comando operacional omitido, PowerShell, WMI e kidkadi.node |
| Escala | a campanha de GachiLoader envolveu até 100 vídeos, cerca de 220 mil visualizações e 39 contas do YouTube comprometidas |
Duas cadeias recentes de distribuição de malware mostram o uso combinado de engenharia social, instaladores falsos e técnicas de execução evasiva contra ambientes Windows. A primeira envolve uma nova versão do CountLoader, observada desde pelo menos junho de 2025 e agora usada como ferramenta inicial em um ataque de múltiplos estágios. A infecção começa quando usuários buscam cópias crackeadas de software legítimo, incluindo Microsoft Word, e são conduzidos a um arquivo ZIP hospedado externamente. Dentro da cadeia há um segundo arquivo protegido por senha, um documento que fornece essa senha e um intérprete Python legítimo renomeado para parecer parte do instalador.
A segunda cadeia envolve o GachiLoader, um carregador JavaScript altamente ofuscado escrito em Node.js e distribuído por uma rede de contas comprometidas no YouTube. Os vídeos servem como isca para levar usuários a instaladores falsos de softwares populares. Em ao menos uma ocorrência, o GachiLoader atuou como condutor para o Rhadamanthys, um ladrão de informações. Outra variante entrega o Kidkadi, que usa uma técnica de injeção em Portable Executable baseada no carregamento de uma DLL legítima e no abuso de Vectored Exception Handling para substituir o conteúdo em tempo de execução por carga maliciosa.
O ponto operacional comum entre as duas campanhas é a tentativa de transformar uma ação aparentemente voluntária do usuário em uma cadeia de execução persistente e difícil de observar. CountLoader usa comando operacional omitido, tarefas agendadas, consulta a produtos de segurança por WMI e execução em memória. GachiLoader realiza verificações antianálise, tenta obter contexto elevado por meio de prompt de UAC, interfere em componentes associados ao Microsoft Defender e configura exclusões para reduzir a chance de bloqueio dos payloads em diretórios previsíveis do sistema.
No caso do CountLoader, o fluxo inicial depende de sites de distribuição de software crackeado. A vítima tenta obter um aplicativo legítimo sem canal oficial e é redirecionada para um arquivo ZIP. O pacote contém um ZIP criptografado e um documento do Word com a senha para abrir o segundo arquivo, um padrão comum para contornar varreduras automáticas e tornar a abertura do conteúdo dependente da interação do usuário. O componente executável relevante é um intérprete Python legítimo renomeado como Setup.exe, configurado para acionar a recuperação do CountLoader 3.2 a partir de servidor remoto usando comando operacional omitido.
Após a execução, o CountLoader cria persistência por tarefa agendada com nome que imita o ecossistema Google: GoogleTaskSystem136.0.7023.12, acompanhada por uma cadeia semelhante a identificador. A tarefa é configurada para execução recorrente a cada 30 minutos durante um período prolongado de 10 anos, invocando comando operacional omitido e usando domínio alternativo como fallback. Esse desenho aumenta a resiliência da infecção porque a recuperação do carregador não depende apenas do primeiro ponto remoto e porque a cadência de execução permite reentrada periódica caso algum estágio falhe ou seja removido parcialmente.
O carregador também realiza reconhecimento local antes de decidir a forma de persistência e execução. Ele consulta a lista de antivírus por Windows Management Instrumentation para verificar a presença do CrowdStrike Falcon. Quando detecta esse serviço, a cadeia ajusta a forma de chamar comando operacional omitido por meio de um processo intermediário associado ao interpretador de comandos do Windows; quando não detecta, a comunicação remota ocorre diretamente por comando operacional omitido. O objetivo defensivo dessa informação é claro: a telemetria deve correlacionar WMI, criação de tarefa agendada, execução de comando operacional omitido e processos gerados por instaladores baixados de origem não confiável.
A versão mais recente do CountLoader amplia suas capacidades com propagação por mídias USB removíveis e execução em memória via comando operacional omitido ou PowerShell. A propagação por USB cria atalhos LNK maliciosos ao lado dos arquivos originais ocultos; quando o atalho é aberto, o arquivo original é exibido ao usuário enquanto o malware é executado com parâmetro de C2. Na cadeia observada, o payload final entregue foi o ACR Stealer, voltado à coleta de dados sensíveis do host infectado. O contexto também associa versões anteriores do CountLoader à entrega de Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer e PureMiner, indicando função de carregador modular.
O GachiLoader segue uma lógica diferente de distribuição, mas converge em evasão e entrega de estágios. A campanha usou uma rede conhecida como YouTube Ghost Network, composta por contas comprometidas que publicaram vídeos usados para distribuição de malware. Até 100 vídeos foram sinalizados nessa atividade, acumulando aproximadamente 220 mil visualizações, com uploads feitos por 39 contas comprometidas. O primeiro vídeo citado data de 22 de dezembro de 2024, e a maior parte dos vídeos teria sido removida posteriormente pela plataforma. O carregador executa checagens antianálise e verifica se está em contexto elevado por meio de uma chamada administrativa do Windows; se a verificação falha, tenta reiniciar com privilégios de administrador e aciona um prompt UAC.
Na fase final, o GachiLoader tenta encerrar SecHealthUI.exe, processo associado ao Microsoft Defender, e configurar exclusões no Defender para impedir que payloads em locais como C:\Users\, C:\ProgramData\ e C:\Windows\ sejam sinalizados. Em seguida, pode buscar diretamente o payload final em uma URL remota ou usar kidkadi.node como carregador adicional. O Kidkadi carrega uma DLL legítima e usa Vectored Exception Handling para substituir seu conteúdo em execução, uma variação de técnica conhecida de injeção de PE. Esse comportamento exige análise de memória e árvore de processos, não apenas inspeção estática de arquivos baixados.
A superfície exposta inclui estáções Windows usadas por usuários que baixam instaladores de canais não oficiais, ambientes com permissão para execução de scripts, hosts que permitem comando operacional omitido sem controle de aplicação e máquinas em que mídias USB removíveis são usadas sem restrição. A cadeia do CountLoader é particularmente relevante para ambientes onde usuários têm liberdade para executar arquivos ZIP obtidos na internet, abrir documentos auxiliares e iniciar executáveis com nomes genéricos de instalação. O uso de um binário legítimo renomeado reduz a confiabilidade de triagens baseadas apenas em reputação superficial do executável.
A cadeia do GachiLoader amplia a superfície para fluxos de conteúdo e mídia social. Contas comprometidas no YouTube podem dar aparência de legitimidade a vídeos de instalação, tutoriais ou downloads associados a softwares populares. O risco cresce quando o endpoint permite elevação por UAC mediante consentimento do usuário e quando exclusões do Microsoft Defender podem ser alteradas sem detecção operacional imediata. Como ambos os carregadores podem entregar ladrões de informação, navegadores, perfis de usuário, diretórios de dados de aplicações e credenciais armazenadas localmente devem ser tratados como ativos em risco condicionado à execução bem-sucedida do estágio final.
A atividade não deve ser tratada como uma única família isolada, e sim como um padrão de distribuição de loaders. CountLoader serve como etapa inicial para reconhecimento, persistência, propagação e entrega de malware adicional. GachiLoader atua como intermediário ofuscado, com capacidade de carregar payloads diretamente ou repassar a execução a outro loader. O efeito prático para defesa é que bloqueios por hash ou por nome de arquivo terão cobertura limitada; a superfície real está nos caminhos de execução, nos intérpretes abusados, nas alterações de configuração e nas interações do usuário com instaladores não confiáveis.
- Estáções Windows que permitem execução de arquivos ZIP, instaladores baixados de sites de software crackeado e documentos auxiliares com senha.
- Ambientes que não restringem comando operacional omitido,
PowerShell, criação de tarefas agendadas e chamadas WMI por processos de origem não confiável. - Hosts que aceitam mídias USB removíveis e exibem atalhos LNK criados ao lado de arquivos originais ocultos.
- Contas de usuário expostas a vídeos do YouTube com links para falsos instaladores e prompts UAC usados para elevar execução.
- Diretórios
C:\Users\,C:\ProgramData\eC:\Windows\quando aparecem em exclusões novas ou incomuns do Microsoft Defender.
A investigação deve começar por eventos de execução relacionados a arquivos baixados recentemente, especialmente quando um processo chamado Setup.exe não corresponde a um instalador esperado e executa intérprete Python ou invoca comando operacional omitido. A criação da tarefa GoogleTaskSystem136.0.7023.12, ou de nomes que imitam fornecedores conhecidos com sufixos numéricos incomuns, é um sinal forte para triagem. A cadência de execução a cada 30 minutos e a duração configurada por anos ajudam a diferenciar persistência maliciosa de tarefas administrativas legítimas.
Para CountLoader, a telemetria relevante inclui consultas WMI feitas por instaladores, enumeração de produtos antivírus, execução de comando operacional omitido com destino remoto, processos gerados por interpretadores e criação de atalhos LNK em mídias removíveis. A defesa também deve procurar padrões em que arquivos originais em USB são ocultados e atalhos passam a acionar simultaneamente o conteúdo esperado e o carregador. Como a versão descrita pode executar estágios em memória, ausência de arquivo final no disco não deve encerrar a investigação quando houver rede, processo e persistência compatíveis.
Para GachiLoader, os sinais estão na cadeia de Node.js ofuscado, nos processos que tentam obter contexto elevado, em prompts UAC logo após execução de instalador vindo de link externo e em alterações de exclusão no Microsoft Defender. Encerramento de SecHealthUI.exe por processo não administrativo conhecido deve ser tratado como evento de alto risco. A presença de kidkadi.node, carregamento de DLL legítima seguido por comportamento anômalo de memória e execução de payload sem caminho de arquivo claro são pontos para análise de EDR, memória e telemetria de API.
A camada de rede deve correlacionar downloads de arquivos compactados, acessos a hospedagem de arquivos, conexões feitas por comando operacional omitido e requisições subsequentes por processos filhos. Como o contexto não fornece domínios ou URLs específicos, a caça deve priorizar classes de comportamento e não indicadores estáticos ausentes. Em ambientes corporativos, pesquisas retroativas por execução de comando operacional omitido a partir de diretórios de usuário, criação de tarefas com nomes que imitam marcas e mudanças recentes em políticas do Defender podem identificar infecções antes da consolidação do roubo de dados.
- Criação de tarefa agendada com nome semelhante a
GoogleTaskSystem136.0.7023.12e execução recorrente de comando operacional omitido. - Processos
Setup.exeoriginados de arquivo ZIP baixado e associados a intérprete Python renomeado. - Consultas WMI para lista de antivírus feitas por instaladores ou processos de usuário sem justificativa administrativa.
- Novas exclusões no Microsoft Defender apontando para
C:\Users\,C:\ProgramData\ouC:\Windows\. - Atalhos LNK em mídia removível acompanhados de arquivos originais ocultos.
- Tentativas de encerrar
SecHealthUI.exeou sequência de UAC acionada por falso instalador.
A resposta deve priorizar redução de execução não confiável, contenção de loaders e revisão de persistência. Em endpoints corporativos, políticas de controle de aplicação devem restringir comando operacional omitido e limitar a execução de scripts por processos iniciados em diretórios de usuário ou a partir de arquivos compactados. A criação de tarefas agendadas por usuários comuns deve ser auditada, com alertas para nomes que imitam fornecedores conhecidos, intervalos recorrentes agressivos e execução de binários de script. Instalações de software devem ser centralizadas em repositórios aprovados, reduzindo a dependência de downloads manuais.
Para hosts suspeitos de CountLoader, a contenção deve incluir isolamento de rede, coleta de árvore de processos, tarefas agendadas, eventos WMI, artefatos em mídia removível e histórico de arquivos ZIP. A remoção apenas do arquivo inicial é insuficiente se a persistência por tarefa e a execução em memória já ocorreram. Como o loader pode entregar ladrões de informação, a resposta deve avaliar exposição de credenciais locais, sessões salvas e dados armazenados por aplicações no perfil do usuário. A rotação de credenciais deve ser considerada quando houver evidência de execução do payload final ou comunicação compatível com estágio de coleta.
Para GachiLoader, a defesa deve validar integridade das configurações do Microsoft Defender, revisar exclusões recém-criadas e investigar qualquer tentativa de finalizar processos associados à interface de segurança. Eventos de elevação por UAC após execução de instaladores obtidos por links em vídeos devem ser tratados como suspeitos. O uso de Node.js e de carregadores auxiliares exige inspeção além da extensão do arquivo, incluindo assinatura, origem, relação pai-filho de processo e comportamento de memória. Quando houver suspeita de Kidkadi, a análise deve considerar injeção em DLL legítima e substituição em tempo de execução, sem depender apenas de artefatos estáticos no disco.
No nível preventivo, equipes de segurança devem combinar bloqueio técnico e conscientização operacional. O bloqueio técnico reduz o caminho de execução: controle de aplicações, restrição a mídias removíveis, logs de criação de LNK, alerta sobre comando operacional omitido, auditoria de tarefas agendadas e monitoramento de exclusões do Defender. A conscientização deve focar no risco de instaladores crackeados e links de vídeos de contas aparentemente legítimas, sem transformar o treinamento em instrução de execução. A validação final deve confirmar que tarefas persistentes foram removidas, exclusões indevidas revertidas, dispositivos USB verificados e credenciais potencialmente expostas revisadas.
- Restringir ou alertar uso de comando operacional omitido e
PowerShellquando iniciados por arquivos baixados, instaladores desconhecidos ou diretórios de usuário. - Auditar tarefas agendadas novas, principalmente as que imitam marcas conhecidas e executam em intervalos fixos prolongados.
- Bloquear instalação de software a partir de sites de crack e reforçar distribuição por canais corporativos aprovados.
- Monitorar e aprovar alterações em exclusões do Microsoft Defender, com investigação imediata de entradas para diretórios amplos do sistema ou do usuário.
- Controlar mídias USB removíveis e detectar criação de atalhos LNK que substituem visualmente arquivos originais.
- Isolar hosts com sinais de loader, coletar telemetria antes da limpeza e revisar credenciais quando houver indício de stealer entregue.
0 Comentários