Especialistas de cibersegurança descobriram novos detalhes de uma campanha cibercriminosa que está rodando desde junho de 2025. A campanha utiliza o CountLoader, que é essencialmente um malware loader, um tipo de software malicioso que serve como porta de entrada para baixar e executar outras ameaças mais destrutivas no sistema da vítima.
Como o CountLoader funciona
A cadeia de infecção começa em sites que oferecem versões crackeadas de software popular, como o Microsoft Office. Essa é uma técnica clássica de engenharia social porque explora o desejo das pessoas de obter software caro gratuitamente.
smart_display
Nossos vídeos em destaque
Quando a vítima pensa que está baixando uma versão gratuita de um programa legítimo, na verdade está baixando um pacote malicioso.
O que intrigou os especialistas foi a forma como os atacantes empacotaram o malware. Eles não simplesmente enviam um arquivo executável suspeito. Em vez disso, a vítima baixa um arquivo compactado que contém dois componentes: um arquivo ZIP protegido por senha e um documento Word contendo essa senha.
Essa técnica serve a múltiplos propósitos. Primeiro, cria uma aparência de legitimidade, como se o software estivesse protegido por medidas de segurança genuínas. Segundo, o uso de criptografia no arquivo ZIP impede que soluções antivírus examinem o conteúdo malicioso durante o download, pois eles não conseguem descriptografar o arquivo sem a senha.
Abusando de binários assinados
Quando o usuário finalmente extrai o conteúdo usando a senha fornecida, encontra o que parece ser um instalador normal chamado Setup.exe. Esse executável é na verdade um interpretador Python completamente legítimo e assinado digitalmente pela Python Software Foundation.
Os atacantes não modificaram o executável em si, o que significa que ele passa por todas as verificações de assinatura digital sem levantar nenhuma bandeira vermelha. Essa técnica é chamada de “living off the land” ou abuso de binários assinados, e é eficaz porque subverte um dos principais mecanismos de defesa modernos – a verificação de assinaturas digitais confiáveis.
O truque real está em um dos arquivos da biblioteca Python que acompanha o interpretador. Os atacantes modificaram sutilmente um arquivo de biblioteca para incluir código que executa o MSHTA, uma ferramenta legítima do Windows usada para executar aplicações HTML.
Quando a vítima executa o Setup.exe pensando que está instalando software, o interpretador Python carrega automaticamente essa biblioteca modificada, que por sua vez invoca o MSHTA para baixar e executar o verdadeiro payload malicioso, o CountLoader.
Versão atualizada evoluiu criptografia e comunicação
A versão analisada, a 3.2, representa uma evolução significativa em relação às versões anteriores. Nesse modelo, a campanha implementa um protocolo de comunicação customizado com seus servidores de comando e controle que usa uma combinação de criptografia XOR e codificação Base64.
O esquema funciona assim: para cada mensagem, o malware gera uma chave aleatória de seis dígitos, usa essa chave para criptografar os dados via XOR, codifica o resultado em Base64, e então anexa a chave no início da mensagem. Isso significa que cada comunicação usa uma chave diferente, tornando significativamente mais difícil para sistemas de detecção de intrusão identificarem padrões no tráfego de rede.
Uma vez executado, o CountLoader inicia um processo metódico de estabelecimento de controle sobre o sistema comprometido. Primeiro, ele procura um servidor de comando e controle ativo testando uma série de domínios seguindo um padrão específico.
Essa redundância garante que mesmo se alguns servidores forem derrubados, outros ainda estarão disponíveis para controlar o malware. Quando encontra um servidor ativo, o malware imediatamente coleta uma quantidade impressionante de informações sobre o sistema infectado.
O malware verifica o nome do computador, o usuário logado, a versão do sistema operacional, quais programas antivírus estão instalados, se o computador faz parte de um domínio corporativo e, de forma particularmente interessante, procura por software de carteiras de criptomoedas instalado no sistema.
Essa última verificação, que inclui buscar por aplicativos como Ledger Live, Trezor, Exodus e outros, indica claramente que um dos objetivos finais pode ser o roubo de criptomoedas, que são alvos extremamente lucrativos para cibercriminosos.
Persistência de longo prazo
Todas essas informações são enviadas ao servidor de comando e controle, que responde com um token JWT. Tokens JWT são normalmente usados em aplicações web legítimas para autenticação, e vê-los sendo usados em malware demonstra que os operadores estão adotando práticas de desenvolvimento profissional, tratando sua infraestrutura maliciosa com o mesmo rigor técnico que desenvolvedores legítimos tratam suas aplicações.
O malware então cria uma tarefa agendada no Windows com um nome que imita tarefas legítimas do Google, algo como GoogleTaskSystem seguido por números de versão aparentemente autênticos. A tarefa é configurada para executar a cada trinta minutos pelos próximos dez anos, garantindo que mesmo se o computador for reiniciado ou se processos maliciosos forem encerrados, o malware será reativado automaticamente.
Além disso, o agente malicioso verifica especificamente se o CrowdStrike Falcon está instalado e ajusta seu método de execução de acordo. O Falcon é uma ferramenta de segurança muito usada por empresas, então essa técnica de evasão indica que os operadores estão mirando ambientes corporativos, não apenas usuários domésticos.
CountLoader tem arquitetura modular
O sistema de tarefas do CountLoader funciona como um framework modular extremamente flexível. Uma vez estabelecido no sistema, ele contata periodicamente o servidor de comando e controle perguntando “o que você quer que eu faça agora?” e o servidor responde com tarefas específicas.
Essa arquitetura modular é comum em malware avançado porque permite que os operadores adaptem dinamicamente o comportamento do malware baseado em seus objetivos específicos para cada vítima. Se detectam que comprometeram um sistema com carteiras de criptomoedas, por exemplo, podem focar em roubar essas credenciais.
O CountLoader suporta onze tipos diferentes de tarefas, e cada uma revela algo sobre as capacidades pretendidas. Ele pode baixar e executar executáveis arbitrários, instalar pacotes MSI silenciosamente, executar scripts PowerShell diretamente na memória, carregar DLLs através do rundll32, e até mesmo propagar-se via dispositivos USB conectados ao sistema.
Para cada tipo de download, o malware implementa múltiplos métodos de fallback. Se o curl falhar, ele tenta o bitsadmin. Se o bitsadmin falhar, tenta o certutil. Se todos os utilitários de linha de comando falharem, ele recorre a métodos baseados em ActiveX e PowerShell. Essa redundância massiva garante que o malware possa funcionar mesmo em ambientes onde certas ferramentas foram desabilitadas ou bloqueadas por políticas de segurança.
ACR Stealer é o golpe final na captura de credenciais
O payload final entregue nesta campanha específica é o ACR Stealer, um malware especializado em roubar credenciais. O ACR Stealer vem empacotado dentro de um arquivo ZIP que contém uma versão trojanizada do WinX DVD Pro, que é um software comercial legítimo. Os atacantes pegaram o executável original, que é assinado digitalmente pelo desenvolvedor legítimo, e o modificaram para incluir código malicioso.
O executável modificado ainda parece e se comporta como o programa legítimo na maior parte do tempo, mas em um ponto específico do fluxo de execução, o controle é desviado para um carregador de shellcode injetado.
Esse carregador está repleto de instruções lixo e chamadas de função que não fazem nada útil, uma técnica chamada de ofuscação que torna difícil para analistas humanos e sistemas automatizados entenderem o que o código realmente faz.
O shellcode implementa uma técnica de auto-modificação onde as primeiras centenas de bytes são na verdade código de descriptografia que modifica o restante do shellcode na memória antes de executá-lo.
Isso significa que o código malicioso real nunca existe em sua forma clara no disco, apenas na memória durante a execução, uma técnica chamada de execução fileless que é extremamente eficaz contra antivírus tradicionais que escaneiam arquivos no disco.
Finalmente, esse shellcode descompacta e executa o ACR Stealer completamente na memória. O stealer nunca toca o disco como um arquivo independente, tornando-o praticamente invisível para muitas soluções de segurança. Uma vez ativo, o ACR Stealer pode roubar senhas salvas, cookies de autenticação, informações de cartões de crédito, credenciais de carteiras de criptomoedas e outros dados sensíveis, enviando tudo de volta para os operadores.
Campanha passava despercebida enquanto mirava empresas
A análise dos pesquisadores da Howler Cell revelou que essa campanha vem ocorrendo desde pelo menos setembro de 2025, e de forma alarmante, as amostras maliciosas tinham zero detecções no VirusTotal naquela época. VirusTotal é um serviço que verifica arquivos contra dezenas de motores antivírus diferentes, então zero detecções significa que nenhum dos principais fornecedores de segurança estava detectando essa ameaça.
A infraestrutura de comando e controle também revela bastante sobre os operadores. Eles usam domínios que imitam serviços legítimos, com nomes como ms-team-ping1.com e bucket-aws-s1.com, projetados para se misturar com tráfego corporativo legítimo em logs de rede.
A maioria dos servidores está fronteada pelo Cloudflare, um serviço legítimo de CDN e proteção DDoS que torna mais difícil rastrear os servidores reais e executar takedowns. De acordo com as investigações, os servidores backend parecem estar hospedados principalmente em um provedor de VPS de Hong Kong, que é popular entre cibercriminosos porque oferece configuração rápida, aceita pagamentos relativamente anônimos e tem processos de remoção mais lentos.
GashiLoader usa YouTube como vetor
A divulgação sobre o CountLoader vem acompanhada de outra descoberta alarmante da Check Point sobre um novo malware loader JavaScript fortemente ofuscado chamado GachiLoader, escrito em Node.js. O malware é distribuído através da YouTube Ghost Network, uma rede de contas comprometidas do YouTube que se dedicam à distribuição de malware.
Os pesquisadores de segurança Sven Rath e Jaromír Hořejší revelaram que uma variante do GachiLoader implanta um malware de segundo estágio chamado Kidkadi, que implementa uma técnica inovadora para injeção de Portable Executable (PE). Essa técnica carrega uma DLL legítima e abusa do Vectored Exception Handling para substituí-la em tempo real por um payload malicioso.
Como parte da campanha, cerca de 100 vídeos do YouTube foram identificados, acumulando aproximadamente 220.000 visualizações. Esses vídeos foram enviados a partir de 39 contas comprometidas, com o primeiro vídeo datando de 22 de dezembro de 2024. A maioria desses vídeos já foi removida pelo Google desde então.
GachiLoader escondia Rhadamanthys Stealer
Em pelo menos um caso documentado, o GachiLoader serviu como conduíte para o malware ladrão de informações Rhadamanthys. Como outros loaders, o GachiLoader é usado para implantar payloads adicionais em uma máquina infectada, enquanto simultaneamente realiza uma série de verificações anti-análise para passar despercebido.
O malware também verifica se está sendo executado em um contexto elevado executando o comando “net session”. Caso a execução falhe, ele tenta se iniciar com privilégios de administrador, o que, por sua vez, aciona um prompt de Controle de Conta de Usuário (UAC). Há grandes chances de que a vítima permita que ele continue, já que o malware provavelmente é distribuído através de instaladores falsos de software popular, assim como no caso do CountLoader.
Na fase final, o malware tenta encerrar o “SecHealthUI.exe,” um processo associado ao Microsoft Defender, e configura exclusões no Defender para evitar que a solução de segurança sinalize payloads maliciosos preparados em determinadas pastas (como C:\Users, C:\ProgramData\ e C:\Windows).
Técnica Inovadora de Injeção PE Via Vectored Exception Handling
O GachiLoader então procede para buscar diretamente o payload final de uma URL remota ou empregar outro loader chamado “kidkadi.node,” que então carrega o malware principal abusando do Vectored Exception Handling, um mecanismo do Windows que permite a um aplicativo registrar funções para interceptar e tratar qualquer exceção que ocorra no processo.
De acordo com a Check Point, o agente de ameaça por trás do GachiLoader demonstrou proficiência com os componentes internos do Windows, criando uma nova variação de uma técnica conhecida.
Como se proteger
Para se proteger, empresas podem adotar algumas medidas de segurança.
- Implementar detecção baseada em comportamento: adote soluções com visibilidade profunda do sistema, já que detecção por assinatura é ineficaz contra malware que usa binários legítimos e execução em memória;
- Monitorar uso anômalo de LOLBins: estabeleça alertas para uso incomum de ferramentas legítimas como PowerShell, MSHTA, certutil e bitsadmin;
- Auditar criação de tarefas agendadas: monitore rigorosamente tarefas que imitam serviços legítimos mas executam scripts suspeitos ou conectam-se a domínios externos;
- Fortalecer políticas de execução: implemente Application Whitelisting para permitir apenas software explicitamente aprovado;
- Educar usuários: invista em treinamento sobre riscos de software crackeado, reconhecendo que essa é uma camada de defesa imperfeita que deve ser complementada por controles técnicos.
Para continuar atualizado nas principais campanhas de malware, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.