Поддельные письма украинской полиции распространяют новый вредоносный загрузчик CountLoader

Новое исследование компании Silent Push, специализирующейся на кибербезопасности, показывает, что российские киберпреступники используют новый тип вредоносной программы, получивший название CountLoader. Это не просто вредоносная программа, а загрузчик вредоносных программ.

Это означает, что его основная задача — атаковать устройство и установить другие, более вредоносные программы, включая программы-вымогатели. По сути, он служит ключевой точкой входа для крупных киберпреступных группировок, таких как LockBit , BlackBasta и Qilin , предоставляя им начальный доступ, необходимый для запуска атак.

Загрузчик вредоносного ПО CountLoader в настоящее время доступен в трёх различных версиях, включая .NET, PowerShell и JScript. Анализ Silent Push показывает, что CountLoader — это инструмент, используемый либо посредниками первоначального доступа (IAB, или киберпреступниками, продающими доступ к скомпрометированным сетям), либо представителями самих группировок, занимающихся вымогательством.

В исследовании освещается недавняя кампания, в ходе которой CountLoader использовался в фишинговых атаках, направленных на жителей Украины. Хакеры выдавали себя за украинскую полицию, используя поддельный PDF-документ в качестве приманки, чтобы заставить жертв скачать и запустить CountLoader.

В сообщении в блоге, опубликованном на Hackread.com, компания Silent Push отметила, что, хотя исследователи из «Лаборатории Касперского» и Cyfirma и обнаружили похожие кампании, они увидели лишь часть полной активности вредоносного ПО.

Например, команда Касперского обнаружила версию PowerShell в июне 2025 года, в то время как Cyfirma не смогла получить подробную информацию о домене C2 (командно-контрольном): app-updaterapp .

Однако исследование Silent Push раскрыло полную картину. «Наша команда выявила признаки нескольких дополнительных уникальных кампаний, использующих различные другие приманки и методы таргетинга», — заявила компания.

Для отслеживания вредоносного ПО исследователи разработали уникальный «отпечаток пальца», представляющий собой комбинацию технических данных, помогающих идентифицировать другие связанные серверы и домены. На данный момент им удалось обнаружить более 20 уникальных доменов, используемых CountLoader. Они также связали вредоносное ПО с конкретными цифровыми водяными знаками, использовавшимися в других атаках, что ещё раз подтвердило его связь с группировками LockBit, BlackBasta и Qilin.

Анализ Silent Push выявил дополнительные связи с российской киберпреступностью. Одна из версий вредоносного ПО использует пользовательский агент, имитирующий браузер «Яндекс.Директ» — популярную в России поисковую систему.

Эта деталь, наряду с атакой на граждан Украины, усиливает подозрения, что за кампанией стоят русскоязычные злоумышленники. Новое исследование позволяет подробно рассмотреть, как российские группировки, занимающиеся распространением вирусов-вымогателей, выводят свою тактику взлома и компрометации сетей на новый уровень.