Как пиратка и YouTube тащат вам инфостилер

Если коротко: бесплатный сыр снова оказался с PowerShell внутри. Исследователи выкатили разбор сразу двух кампаний, которые идеально ложатся в старую добрую формулу «хочешь халяву — получи malware». В главных ролях — CountLoader и GachiLoader, два загрузчика, которые отлично чувствуют себя в 2025 году и уверенно превращают пользователей пиратского софта и YouTube-инструкций в ботнет.

Начнём с CountLoader. Это не новичок на районе: его уже светили Fortinet и Silent Push, а в дикой природе он бегает минимум с июня 2025 года. Задача у него простая и вечная — быть первым. Первым зайти, первым закрепиться и первым принести друзьям что-нибудь тяжёлое: Cobalt Strike, PureHVNC, Amatera Stealer, майнеры, RAT’ы и прочие радости жизни.

В новой кампании CountLoader распространяется через сайты с кряками. Сценарий отточен до автоматизма. Пользователь ищет «Microsoft Word crack», кликает по результату, его аккуратно редиректят на MediaFire, где лежит ZIP. Внутри ZIP — ещё один ZIP, запароленный. Пароль заботливо лежит рядом, в Word-документе. Социальная инженерия уровня «ну а что тут может пойти не так».

Внутри второго архива начинается магия. Там лежит переименованный легитимный Python-интерпретатор под гордым именем Setup.exe. Он подписан, выглядит прилично и запускается без лишних вопросов. А дальше этот «установщик» дергает mshta.exe и тянет с удалённого сервера CountLoader версии 3.2. Без браузера, без EXE, почти fileless — красота.

Чтобы пользователь не остался без сюрпризов в будущем, CountLoader аккуратно прописывает себе persistence. Создаётся scheduled task с названием уровня «GoogleTaskSystem136.0.7023.12», чтобы даже опытный админ подумал: «Ну, гугл что-то обновляет». Задача запускается каждые 30 минут и рассчитана на десять лет вперёд. Оптимизм — наше всё.

Лоадер также проявляет уважение к корпоративной безопасности и проверяет, не стоит ли на машине CrowdStrike Falcon. Делается это через WMI, просто и со вкусом. Если Falcon найден — команда запуска слегка меняется, чтобы не так палиться. Если нет — mshta напрямую идёт за payload’ом.

После этого CountLoader начинает делать то, за что его любят операторы. Он профилирует систему, собирает инфу, а затем тянет следующий этап. В свежей версии функционал подрос: теперь он умеет распространяться через USB-флешки, создавая LNK-шорткаты рядом с оригинальными файлами, запускать payload’ы прямо в памяти через mshta или PowerShell, работать с EXE, DLL, MSI и ZIP’ами и аккуратно убирать за собой scheduled task, если нужно.

В кейсе, который наблюдали исследователи Cyderes, финальным гостем на системе стал ACR Stealer — инфостилер, заточенный под вынос всего, что плохо лежит. Пароли, куки, токены, системная информация — стандартный джентльменский набор.

Но на этом веселье не заканчивается. Параллельно Check Point рассказали про GachiLoader — ещё одного лоадера, но уже из YouTube-вселенной. Его доставляют через так называемую YouTube Ghost Network — сеть взломанных YouTube-аккаунтов, которые заливают «полезные» видео с ссылками на вредоносные установщики.

GachiLoader написан на Node.js, обфусцирован до состояния «глаза в кучу» и ведёт себя как типичный современный загрузчик. Он проверяет окружение, палит sandbox’ы, и первым делом выясняет, запущен ли он с админскими правами. Делает это через команду net session. Если прав нет — аккуратно перезапускается, вызывая UAC. Учитывая, что пользователь думает, будто ставит нужную программу, шанс на «Да» очень высокий.

После этого GachiLoader начинает чистить поле. Он пытается прибить SecHealthUI.exe — процесс Microsoft Defender, а затем прописывает исключения для Defender в каталогах, где будут жить payload’ы: Users, ProgramData, Windows. Старо, нагло, эффективно.

Дальше — либо прямая загрузка финального malware с удалённого сервера, либо ещё один лоадер — kidkadi.node. Именно он приносит следующую стадию и использует довольно изящный трюк: загружает легитимную DLL и через механизм Vectored Exception Handling подменяет её на лету вредоносным PE. Формально DLL есть, по факту — уже нет.

Через GachiLoader в ряде случаев доставлялся Rhadamanthys — один из самых популярных инфостилеров последних лет. Всё как положено: многоступенчатая цепочка, signed binaries, fileless execution и минимум артефактов на диске.

По данным Check Point, в кампании участвовало около 100 YouTube-видео с суммарными 220 тысячами просмотров. Видео загружались с 39 скомпрометированных аккаунтов, первые ролики появились ещё в декабре 2024 года. Большую часть Google уже снёс, но сколько пользователей успело «поставить нужный софт» — никто не знает.

Общий вывод у обеих историй один и тот же, просто написан разными языками. Лоадеры эволюционируют, становятся тише, умнее и наглее. Signed binaries, mshta, PowerShell, Node.js, in-memory execution — всё это давно не экзотика, а стандарт.

А для пользователей и админов мораль всё та же, что и десять лет назад. Пиратский софт — это не экономия, а подписка на malware. YouTube-инструкции с линками — это не помощь, а доставка payload’ов. И если вам предлагают «бесплатно», почти наверняка вы платите, просто не деньгами.