![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
Киберэксперты предупреждают о новой волне атак, в ходе которых злоумышленники активно используют сайты с «крякнутым» софтом и популярные видеоплатформы. В центре внимания — обновлённая версия скрытного загрузчика CountLoader, а также новый JavaScript-лоадер GachiLoader, распространяемый через взломанные YouTube-аккаунты.
По данным аналитиков Cyderes, новая кампания строится вокруг CountLoader — модульного загрузчика, который используется как первая ступень многоэтапной атаки. Жертве достаточно попытаться скачать взломанную версию популярной программы, например Microsoft Word.
Сценарий выглядит правдоподобно: пользователя перенаправляют на MediaFire, где лежит ZIP-архив. Внутри — ещё один зашифрованный архив и документ Word с паролем от него. После распаковки запускается «Setup.exe», который на самом деле является переименованным Python-интерпретатором. Он загружает CountLoader с удалённого сервера через mshta.exe.
Для закрепления в системе CountLoader создаёт задачу планировщика с названием, замаскированным под сервис Google — вроде GoogleTaskSystem136.0.7023.12. Такая задача может запускаться каждые 30 минут в течение 10 лет.
Интересно, что вредонос проверяет, установлен ли CrowdStrike Falcon. Если да — меняет способ запуска, чтобы снизить вероятность обнаружения. В остальном CountLoader активно собирает информацию о системе и готовит почву для следующего этапа атаки.
Новая версия загрузчика стала заметно опаснее. Среди её возможностей:
- загрузка и запуск EXE, DLL, MSI и ZIP-файлов;
- выполнение PowerShell-кода прямо в памяти;
- распространение через USB-накопители с подменой ярлыков;
- сбор и отправка подробных данных о системе;
- удаление собственных следов.
В зафиксированной атаке финальной нагрузкой стал ACR Stealer — стилер, крадущий конфиденциальные данные с заражённых компьютеров.
Параллельно специалисты Check Point рассказали о другой кампании — с использованием GachiLoader. Этот лоадер написан на Node.js и распространяется через сеть взломанных YouTube-аккаунтов, так называемую YouTube Ghost Network.
Злоумышленники загружали видео с вредоносными ссылками, замаскированными под установщики популярного ПО. Всего выявлено около 100 таких роликов, которые суммарно набрали более 220 тысяч просмотров. Большинство из них Google уже удалила.
GachiLoader умеет обходить защиту, проверять наличие прав администратора и даже пытаться отключать компоненты Microsoft Defender. В одном из случаев он использовался для доставки стилера Rhadamanthys.
Эксперты отмечают, что обе кампании укладываются в общий тренд: злоумышленники всё чаще используют «бесфайловые» техники, легитимные компоненты Windows и сложные цепочки загрузки, чтобы дольше оставаться незаметными.
Главный совет пользователям остаётся прежним: не скачивать «кряки» и «активаторы», даже если они выглядят убедительно, и с осторожностью относиться к ссылкам под видео и в описаниях на YouTube. В 2025 году «бесплатный софт» всё чаще обходится слишком дорого.
