Pesquisadores em cibersegurança revelaram novos detalhes sobre uma campanha maliciosa ativa desde meados de 2025 que vem passando abaixo do radar de muitas soluções de segurança. O ataque gira em torno do CountLoader, um malware do tipo loader, projetado para abrir caminho dentro do sistema da vítima e instalar ameaças ainda mais perigosas.
O que chama atenção não é apenas a sofisticação técnica, mas o cuidado dos operadores em abusar de ferramentas legítimas, binários assinados e execução em memória para driblar mecanismos tradicionais de defesa.
A cadeia de infecção começa no velho truque do software crackeado
A campanha se inicia em sites que distribuem versões piratas de softwares populares, como o Microsoft Office. A engenharia social aqui é simples e eficaz: oferecer algo caro “de graça”. No lugar do instalador legítimo, o usuário baixa um pacote malicioso cuidadosamente montado.
Em vez de um executável suspeito direto, o download traz dois arquivos: um ZIP protegido por senha e um documento Word que informa essa senha. O visual passa credibilidade e, de quebra, a criptografia do ZIP impede que antivírus analisem o conteúdo durante o download.
Abuso de binários confiáveis para driblar defesas
Ao extrair os arquivos, a vítima encontra um suposto instalador chamado Setup.exe. Na prática, trata-se de um interpretador Python legítimo, assinado digitalmente pela Python Software Foundation. O executável em si não foi alterado, o que faz com que passe tranquilamente por verificações de assinatura digital.
O problema está em uma biblioteca Python incluída no pacote. Esse arquivo foi modificado para executar o MSHTA, uma ferramenta legítima do Windows usada para rodar aplicações HTML. Assim que o Setup.exe é executado, o Python carrega automaticamente essa biblioteca adulterada, que então baixa e executa o verdadeiro payload: o CountLoader.
Esse tipo de abordagem é conhecido como living off the land, quando o malware se apoia em componentes confiáveis do próprio sistema para evitar detecção.
Comunicação cifrada e evasão em escala
A versão mais recente analisada, a 3.2, mostra uma evolução clara do CountLoader. A comunicação com os servidores de comando e controle utiliza um protocolo customizado que combina criptografia XOR com codificação Base64.
Cada mensagem gera uma chave aleatória de seis dígitos, usada para cifrar os dados antes do envio. A chave é anexada à própria mensagem, permitindo a descriptografia no destino. Como cada comunicação usa uma chave diferente, identificar padrões no tráfego de rede se torna muito mais difícil.
Após se conectar a um servidor ativo, o malware coleta uma grande quantidade de informações do sistema infectado, incluindo nome do computador, usuário logado, versão do Windows, antivírus instalado, participação em domínio corporativo e, de forma bastante reveladora, a presença de carteiras de criptomoedas como Ledger Live, Trezor e Exodus. O foco financeiro aqui é explícito.
Persistência pensada para durar anos
Depois da coleta inicial, os dados são enviados ao servidor, que responde com um token JWT, tecnologia comum em aplicações web legítimas. O uso desse tipo de mecanismo mostra um nível de maturidade incomum, tratando a infraestrutura maliciosa quase como um produto.
Em seguida, o CountLoader cria uma tarefa agendada no Windows com nomes que imitam tarefas legítimas do Google. Essa tarefa é configurada para rodar a cada 30 minutos por até dez anos, garantindo persistência mesmo após reinicializações ou tentativas de limpeza.
O malware também verifica se o CrowdStrike Falcon está instalado e ajusta seu comportamento para evitar detecção, deixando claro que ambientes corporativos estão entre os principais alvos.
Um loader modular, pronto para qualquer missão
O CountLoader funciona como um framework modular. Periodicamente, ele consulta o servidor perguntando qual ação deve executar, e recebe tarefas específicas em resposta. Isso permite que os operadores adaptem o ataque conforme o perfil da vítima.
Entre as capacidades mapeadas estão download e execução de executáveis, instalação silenciosa de pacotes MSI, execução de PowerShell diretamente na memória, carregamento de DLLs via rundll32 e até propagação por dispositivos USB.
Para garantir execução em qualquer cenário, o malware implementa múltiplos métodos de fallback. Se curl falha, tenta bitsadmin. Se não funcionar, parte para certutil. Se tudo falhar, recorre a ActiveX ou PowerShell. É redundância pensada para sobreviver a ambientes travados por políticas de segurança.
A etapa final: ACR Stealer e execução fileless
O payload final dessa campanha é o ACR Stealer, um malware especializado em roubo de credenciais. Ele chega disfarçado dentro de um ZIP que contém uma versão trojanizada de um software legítimo, o WinX DVD Pro.
O executável original, assinado digitalmente, foi modificado para incluir código malicioso. Na maior parte do tempo, o programa se comporta normalmente, mas em um ponto específico do fluxo, o controle é desviado para um carregador de shellcode altamente ofuscado.
Esse shellcode se auto-descriptografa na memória antes de executar, garantindo que o código malicioso nunca exista em formato legível no disco. Trata-se de execução fileless, uma técnica extremamente eficaz contra antivírus tradicionais.
Uma vez ativo, o ACR Stealer coleta senhas salvas, cookies de autenticação, dados de cartões, credenciais de carteiras de criptomoedas e outras informações sensíveis, enviando tudo de volta aos operadores.
Campanha ficou invisível por meses
Pesquisadores da Howler Cell identificaram que a campanha estava ativa desde pelo menos setembro de 2025 e, na época, as amostras tinham zero detecções no VirusTotal. Isso significa que nenhum dos principais motores antivírus reconhecia a ameaça.
A infraestrutura de comando e controle usa domínios que imitam serviços legítimos, como ms-team-ping1.com e bucket-aws-s1.com, dificultando a identificação em logs corporativos. Muitos servidores estão protegidos pelo Cloudflare, o que complica ainda mais tentativas de derrubada. O backend parece estar hospedado majoritariamente em VPSs de Hong Kong, um ambiente popular entre grupos cibercriminosos.
GachiLoader: YouTube como vetor de infecção
Paralelamente, a Check Point revelou detalhes sobre o GachiLoader, um loader JavaScript escrito em Node.js e distribuído por meio de uma rede de contas comprometidas do YouTube, chamada de YouTube Ghost Network.
Cerca de 100 vídeos maliciosos, somando mais de 220 mil visualizações, foram identificados. Esses vídeos direcionavam usuários a downloads infectados e já começaram a ser removidos pelo Google.
Em pelo menos um caso, o GachiLoader foi usado para distribuir o Rhadamanthys Stealer. O malware executa verificações anti-análise, tenta obter privilégios elevados via UAC e chega a encerrar processos do Microsoft Defender, além de criar exclusões em diretórios críticos para evitar detecção.
Injeção de malware com técnica pouco comum
O estágio final do GachiLoader envolve uma técnica avançada de injeção de Portable Executable usando Vectored Exception Handling, um mecanismo interno do Windows. A abordagem carrega uma DLL legítima e a substitui dinamicamente por um payload malicioso durante a execução.
Segundo a Check Point, essa variação demonstra um domínio profundo do funcionamento interno do sistema operacional e representa uma evolução de técnicas já conhecidas.
Como reduzir o risco desse tipo de ataque
Diante desse cenário, especialistas recomendam que empresas priorizem detecção baseada em comportamento, já que assinaturas tradicionais falham contra execução em memória e abuso de binários legítimos. Monitorar o uso anômalo de ferramentas como PowerShell, MSHTA, certutil e bitsadmin é essencial.
Também é importante auditar a criação de tarefas agendadas, especialmente aquelas que imitam serviços conhecidos, reforçar políticas de application whitelisting e investir em conscientização dos usuários sobre os riscos de software pirata. Treinamento ajuda, mas precisa andar junto com controles técnicos sólidos.
O recado é claro: malware moderno não depende mais de arquivos obviamente maliciosos. Ele se esconde à vista de todos, usando exatamente as ferramentas que deveriam inspirar confiança.
