התוקפים החלו להשתמש באתרי תוכנה פיראטיים ובפלטפורמות וידאו פופולריות כדי להפיץ הורדות זדוניות של CountLoader ו- GachiLoader. כך דווח על ידי Anti-Malware.
לדברי אנליסטים, הקמפיין הנוכחי בנוי סביב CountLoader, כלי מודולרי המשמש כשלב ראשון של התקפות רב-שלביות. כדי להידבק, אתה רק צריך לנסות להוריד גרסה "פצועה" של התוכנה הפופולרית. המשתמש מופנה לשירות אירוח הקבצים, המכיל ארכיון עם תוכן מוצפן נוסף ומסמכים עם סיסמאות. לאחר החילוץ, מופעל קובץ הפעלה, מחופש למתקין, מוריד קוד זדוני משרת מרוחק.
כדי להשיג דריסת רגל במערכת, CountLoader מתחזה לתהליך מערכת שניתן לבצע בתדירות גבוהה למשך שנים רבות. המעמיס מנתח גם תוכנות אבטחה מותקנות, וכאשר הוא מזהה פתרונות בודדים, הוא משנה את התנהגותו, ומפחית את הסיכון לגילוי. לאחר מכן, הוא אוסף מידע על המערכת ומתכונן להשיק את השלב הבא של המתקפה.
מומחים מציינים כי הגרסה החדשה של CountLoader הרחיבה יכולות, כולל השקת סוגי קבצים שונים, ביצוע קוד בזיכרון, אספקה באמצעות כונני USB, איסוף נתוני טלמטריה מפורטים ומחיקת עקבות פעילות. במקרה מתועד אחד, המטען הסופי היה ACR Stealer שנועד לגנוב נתונים רגישים.
מומחי צ'ק פוינט דיווחו בתורם על מסע פרסום זדוני נוסף באמצעות GachiLoader, תוכנת הורדה שהופצה דרך רשת של חשבונות YouTube שנפרצו. התוקפים פרסמו סרטונים עם קישורים ל"מתקנים" זדוניים עבור תוכנות פופולריות. בסך הכל זוהו כמאה סרטונים כאלה, שזכו בסך הכל ליותר מ-220 אלף צפיות. חלק גדול מהתוכן הוסר על ידי גוגל.
ל- GachiLoader יש את היכולת לעקוף מנגנוני אבטחה, לבדוק זכויות ניהול ולנסות להשבית את רכיבי Microsoft Defender. במקרה אחד, הוא שימש להעברת ה-Rhadamanthys הגנוב.
