Le false email della polizia ucraina diffondono il nuovo malware CountLoader

Una nuova ricerca dell'azienda di sicurezza informatica Silent Push rivela che le bande russe di ransomware stanno utilizzando un nuovo tipo di programma dannoso, denominato CountLoader. Non si tratta di un normale malware: è un malware loader.

Ciò significa che il suo compito principale è quello di prendere di mira un dispositivo e installare altri programmi più dannosi, tra cui ransomware. In pratica, funge da punto di ingresso chiave per i principali gruppi di criminalità informatica come LockBit , BlackBasta e Qilin , fornendo loro l'accesso iniziale necessario per lanciare i loro attacchi.

Il malware loader CountLoader è attualmente disponibile in tre diverse versioni, tra cui .NET, PowerShell e JScript. L'analisi di Silent Push suggerisce che CountLoader sia uno strumento utilizzato dagli Initial Access Broker (IAB, ovvero criminali informatici che vendono l'accesso alle reti compromesse) o da affiliati degli stessi gruppi ransomware.

La ricerca evidenzia una recente campagna in cui CountLoader è stato utilizzato in attacchi di phishing rivolti a utenti in Ucraina. Gli hacker si sono spacciati per la polizia ucraina con un falso documento PDF come esca per indurre le vittime a scaricare ed eseguire CountLoader.

Nel post del blog condiviso con Hackread.com, Silent Push ha osservato che, sebbene i ricercatori di Kaspersky e Cyfirma avessero individuato campagne simili, avevano visto solo una parte delle operazioni complete del malware.

Il team di Kaspersky, ad esempio, aveva osservato la versione di PowerShell nel giugno 2025, mentre Cyfirma non è riuscita a ottenere dettagli sul dominio C2 (comando e controllo): app-updaterapp .

La ricerca di Silent Push, tuttavia, ha rivelato il quadro completo. "Il nostro team ha individuato indizi di diverse altre campagne esclusive che utilizzano altre esche e metodi di targeting", ha affermato l'azienda.

Per tracciare il malware, i ricercatori hanno sviluppato un'impronta digitale univoca, ovvero una combinazione di dettagli tecnici che aiuta a identificare altri server e domini correlati. Finora, hanno individuato più di 20 domini univoci utilizzati da CountLoader. Hanno anche collegato il malware a specifici watermark digitali utilizzati in altri attacchi, confermando ulteriormente i suoi legami con i gruppi LockBit, BlackBasta e Qilin.

L'analisi di Silent Push ha rivelato ulteriori collegamenti con la criminalità informatica russa. Una versione del malware utilizza uno user agent che imita il browser Yandex , un motore di ricerca molto diffuso in Russia.

Questo dettaglio, insieme al fatto che siano stati presi di mira cittadini ucraini, rafforza il sospetto che dietro la campagna ci siano autori di minacce di lingua russa. Questa nuova ricerca fornisce un'analisi approfondita di come i gruppi ransomware russi stiano portando le loro tattiche per violare e compromettere le reti a un livello superiore.