Özet

Siber güvenlik araştırmacıları, Rus fidye yazılımı çetelerinin Cobalt Strike, AdaptixC2 ve PureHVNC RAT gibi sömürü sonrası araçları dağıtmak için kullandığı CountLoader adlı yeni bir malware yükleyicisi keşfetti.

Ana Bulgular

Hedef Gruplar: CountLoader, LockBit, Black Basta ve Qilin fidye yazılımı gruplarıyla bağlantılı olan İlk Erişim Aracıları (IAB) veya fidye yazılımı ortakları tarafından kullanılıyor.

Teknik Özellikler:

• .NET, PowerShell ve JavaScript olmak üzere üç farklı versiyonda geliştirildi
• JavaScript versiyonu en gelişmiş implementasyon
• 6 farklı dosya indirme yöntemi
• 3 farklı malware çalıştırma yöntemi
• Sistem bilgisi toplama ve kalıcılık kurma yetenekleri

Saldırı Yöntemleri:

• Ukrayna’da PDF tabanlı kimlik avı saldırıları
• Ukrayna Ulusal Polisi kimliğine bürünme
• DeepSeek ile ilgili sahte içerikler
• ClickFix sosyal mühendislik taktikleri

Teknik Detaylar:

• Kurban bilgisayarların Music klasörünü malware için hazırlık alanı olarak kullanıyor
• Google Chrome güncelleme görevi gibi görünen zamanlanmış görevler oluşturuyor
• curl, PowerShell, bitsadmin, certutil.exe gibi Windows araçlarını kullanıyor
• 20’den fazla benzersiz domain ile desteklenen altyapı

Güvenlik Etkileri

CountLoader, gelişmiş Windows sistem bilgisi ve malware geliştirme anlayışı sergileyen sofistike bir tehdit olarak öne çıkıyor. Rus fidye yazılımı ekosistemindeki operatörlerin zayıf marka bağlılığı ve güven ilişkileri temelinde çalıştığı gözlemleniyor.

https://thehackernews.com/2025/09/countloader-broadens-russian-ransomware.html