Через кряки и YouTube распространяют новые загрузчики вредоносов

Екатерина Быстрова 19 Декабря 2025 - 21:09

...

Через кряки и YouTube распространяют новые загрузчики вредоносов

Киберэксперты предупреждают о новой волне атак, в ходе которых злоумышленники активно используют сайты с «крякнутым» софтом и популярные видеоплатформы. В центре внимания — обновлённая версия скрытного загрузчика CountLoader, а также новый JavaScript-лоадер GachiLoader, распространяемый через взломанные YouTube-аккаунты.

По данным аналитиков Cyderes, новая кампания строится вокруг CountLoader — модульного загрузчика, который используется как первая ступень многоэтапной атаки. Жертве достаточно попытаться скачать взломанную версию популярной программы, например Microsoft Word.

Сценарий выглядит правдоподобно: пользователя перенаправляют на MediaFire, где лежит ZIP-архив. Внутри — ещё один зашифрованный архив и документ Word с паролем от него. После распаковки запускается «Setup.exe», который на самом деле является переименованным Python-интерпретатором. Он загружает CountLoader с удалённого сервера через mshta.exe.

Для закрепления в системе CountLoader создаёт задачу планировщика с названием, замаскированным под сервис Google — вроде GoogleTaskSystem136.0.7023.12. Такая задача может запускаться каждые 30 минут в течение 10 лет.

Интересно, что вредонос проверяет, установлен ли CrowdStrike Falcon. Если да — меняет способ запуска, чтобы снизить вероятность обнаружения. В остальном CountLoader активно собирает информацию о системе и готовит почву для следующего этапа атаки.

Новая версия загрузчика стала заметно опаснее. Среди её возможностей:

загрузка и запуск EXE, DLL, MSI и ZIP-файлов;
выполнение PowerShell-кода прямо в памяти;
распространение через USB-накопители с подменой ярлыков;
сбор и отправка подробных данных о системе;
удаление собственных следов.

В зафиксированной атаке финальной нагрузкой стал ACR Stealer — стилер, крадущий конфиденциальные данные с заражённых компьютеров.

Параллельно специалисты Check Point рассказали о другой кампании — с использованием GachiLoader. Этот лоадер написан на Node.js и распространяется через сеть взломанных YouTube-аккаунтов, так называемую YouTube Ghost Network.

Злоумышленники загружали видео с вредоносными ссылками, замаскированными под установщики популярного ПО. Всего выявлено около 100 таких роликов, которые суммарно набрали более 220 тысяч просмотров. Большинство из них Google уже удалила.

GachiLoader умеет обходить защиту, проверять наличие прав администратора и даже пытаться отключать компоненты Microsoft Defender. В одном из случаев он использовался для доставки стилера Rhadamanthys.

Эксперты отмечают, что обе кампании укладываются в общий тренд: злоумышленники всё чаще используют «бесфайловые» техники, легитимные компоненты Windows и сложные цепочки загрузки, чтобы дольше оставаться незаметными.

Главный совет пользователям остаётся прежним: не скачивать «кряки» и «активаторы», даже если они выглядят убедительно, и с осторожностью относиться к ссылкам под видео и в описаниях на YouTube. В 2025 году «бесплатный софт» всё чаще обходится слишком дорого.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 12 Февраля 2026 - 09:13

iOS Эксплойты Уязвимости программ Уязвимость нулевого дня Домашние пользователи Корпорации Apple

Apple срочно закрыла 0-day в iOS после шпионской атаки

Apple вчера вечером выпустила обновления своих ОС. Среди них стоит отметить патчи для устройств iPhone и iPad, закрывающие критическую уязвимость нулевого дня, которая уже используется в реальных атаках. Речь идёт о баге с идентификатором CVE-2026-20700.

По словам Apple, эксплойт применялся в «очень сложной атаке» против конкретных людей.

Такая формулировка у Apple появляется нечасто; как правило, она подразумевает целевые кибератаки уровня коммерческого шпионского софта. Обнаружили проблему специалисты Google Threat Analysis Group (TAG) — команды, которая как раз охотится за правительственными кибергруппами.

Атаки, скорее всего, были направлены на журналистов, дипломатов, активистов или других «интересных» для разведки персон, а не на массового пользователя.

Уязвимость находится в dyld — это динамический загрузчик библиотек, один из базовых компонентов iOS и iPadOS. Он отвечает за то, чтобы при запуске приложения система корректно подгружала нужные библиотеки и фреймворки.

Проблема в том, что из-за ошибки злоумышленник с возможностью записи в память мог добиться выполнения произвольного кода. Проще говоря, встроить свои инструкции в процесс загрузки приложения и обойти защитные механизмы.

Apple прямо указывает, что CVE-2026-20700, вероятно, использовалась в составе более широкой цепочки эксплуатации. Одновременно были закрыты ещё две уязвимости — CVE-2025-14174 и CVE-2025-43529. Судя по всему, атакующие комбинировали несколько багов, чтобы обойти современные механизмы защиты.

Патч уже доступен в составе iOS 26.3 и iPadOS 26.3. Обновление касается широкого списка устройств:

iPhone 11 и новее;
iPad Pro 12,9″ (3-го поколения и новее);
iPad Pro 11″ (1-го поколения и новее);
iPad Air 3-го поколения и новее;
iPad 8-го поколения и новее;
iPad mini 5-го поколения и новее.

С учётом подтверждённой эксплуатации откладывать обновление точно не стоит. Чтобы установить патч, достаточно зайти в «Настройки» → «Основные» → «Обновление ПО» и установить iOS 26.3 или iPadOS 26.3.

Даже если атака была таргетированной, практика показывает: инструменты, созданные для точечных операций, рано или поздно могут утечь или масштабироваться. В таких случаях лучшая стратегия — просто обновиться и закрыть вопрос.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »