हमलावरों ने काउंटलोडर और गैचीलोडर दुर्भावनापूर्ण डाउनलोड वितरित करने के लिए पायरेटेड सॉफ़्टवेयर साइटों और लोकप्रिय वीडियो प्लेटफ़ॉर्म का उपयोग करना शुरू कर दिया। यह एंटी-मैलवेयर द्वारा रिपोर्ट किया गया है।
विश्लेषकों के अनुसार, वर्तमान अभियान काउंटलोडर के आसपास बनाया गया है, जो एक मॉड्यूलर उपकरण है जिसका उपयोग मल्टी-स्टेज हमलों के पहले चरण के रूप में किया जाता है। संक्रमित होने के लिए, आपको बस लोकप्रिय सॉफ़्टवेयर का “क्रैक” संस्करण डाउनलोड करने का प्रयास करना होगा। उपयोगकर्ता को फ़ाइल होस्टिंग सेवा पर पुनर्निर्देशित किया जाता है, जिसमें अतिरिक्त एन्क्रिप्टेड सामग्री और पासवर्ड के साथ दस्तावेज़ों वाला एक संग्रह होता है। एक बार निकाले जाने के बाद, एक निष्पादन योग्य फ़ाइल लॉन्च की जाती है, जो एक इंस्टॉलर के रूप में प्रच्छन्न होती है, एक दूरस्थ सर्वर से दुर्भावनापूर्ण कोड डाउनलोड करती है।
सिस्टम में पैर जमाने के लिए, काउंटलोडर खुद को एक सिस्टम प्रक्रिया के रूप में प्रच्छन्न करता है जिसे कई वर्षों तक उच्च आवृत्ति पर निष्पादित किया जा सकता है। लोडर स्थापित सुरक्षा सॉफ़्टवेयर का भी विश्लेषण करता है, और जब यह व्यक्तिगत समाधानों का पता लगाता है, तो यह अपना व्यवहार बदल देता है, जिससे पहचान का जोखिम कम हो जाता है। इसके बाद, यह सिस्टम के बारे में जानकारी एकत्र करता है और हमले के अगले चरण को शुरू करने की तैयारी करता है।
विशेषज्ञों का कहना है कि काउंटलोडर के नए संस्करण में क्षमताओं का विस्तार किया गया है, जिसमें विभिन्न फ़ाइल प्रकारों को लॉन्च करना, मेमोरी में कोड निष्पादित करना, यूएसबी ड्राइव के माध्यम से वितरित करना, विस्तृत टेलीमेट्री डेटा एकत्र करना और गतिविधि के निशान मिटाना शामिल है। एक प्रलेखित मामले में, अंतिम पेलोड एक एसीआर स्टीलर था जिसे संवेदनशील डेटा चुराने के लिए डिज़ाइन किया गया था।
चेक प्वाइंट विशेषज्ञों ने बदले में हैक किए गए YouTube खातों के नेटवर्क के माध्यम से वितरित डाउनलोडर GachiLoader का उपयोग करके एक और दुर्भावनापूर्ण अभियान की सूचना दी। हमलावरों ने लोकप्रिय सॉफ़्टवेयर के लिए दुर्भावनापूर्ण “इंस्टॉलर्स” के लिंक के साथ वीडियो प्रकाशित किए। कुल मिलाकर, लगभग सौ ऐसे वीडियो की पहचान की गई, जिन्हें कुल मिलाकर 220 हजार से अधिक बार देखा गया। Google द्वारा अधिकांश सामग्री हटा दी गई है.
GachiLoader में सुरक्षा तंत्र को बायपास करने, प्रशासनिक अधिकारों की जांच करने और Microsoft डिफ़ेंडर घटकों को अक्षम करने का प्रयास करने की क्षमता है। एक मामले में, इसका उपयोग चोरी की गई रदामंथियों को पहुंचाने के लिए किया गया था।
