CountLoader·GachiLoader 악성 유포

크랙·유튜브 경로로 번지는 CountLoader·GachiLoader

크랙(불법복제) 소프트웨어 배포 흐름과 탈취된 유튜브 계정이 다시 감염 통로로 악용되면서, 모듈형 로더 CountLoader와 노드(Node.js) 기반 자바스크립트 로더 GachiLoader가 다단계 페이로드 전달에 사용된 정황이 확인됐다.

핵심만 먼저
CountLoader는 “크랙 설치 파일 다운로드” 흐름을 출발점으로, mshta.exe 같은 정상 도구를 악용해 로더를 내려받는 형태가 관찰됐다.
GachiLoader는 탈취된 유튜브 계정을 이용해 설치 프로그램을 소개하고 링크로 유도하는 방식으로 확산됐다.
두 캠페인 모두 로더가 다음 단계 악성코드를 선택적으로 투하하며, 최종 단계에 인포스틸러가 배치되는 전형이 결합됐다.

한눈에 보는 두 캠페인 차이

구분	CountLoader	GachiLoader
유포 시작점	크랙 프로그램 다운로드 과정(파일 공유 링크 → ZIP)	탈취된 유튜브 계정 영상/설명란/댓글 링크
초기 실행 연결	정상 파이썬 인터프리터로 위장한 실행 흐름이 mshta.exe 호출	노드 기반 JS 로더가 난독화된 형태로 단계적 실행
지속성/유지	예약 작업 생성(정상 작업처럼 보이는 이름) 및 예비 도메인 활용	권한 상승(UAC 유도), 보안 기능 우회 시도, 예외 설정/프로세스 종료 시도
확산 특징	USB 이동식 저장매체에 LNK 생성으로 사용자 클릭 유도	“고스트 네트워크” 형태로 신뢰를 연출하며 클릭 유도
최종 단계	ACR Stealer 등 민감정보 탈취형 페이로드 연결 정황	Kidkadi 로더 경유 및 Rhadamanthys 등 인포스틸러 투하 정황

CountLoader: 크랙 설치 흐름을 타고 들어오는 다단계 로딩

CountLoader 캠페인은 사용자가 정상 소프트웨어의 크랙 버전을 찾는 과정에서 내려받는 설치 파일에서 출발한다. 다운로드 과정은 파일 공유 서비스 링크로 유도되고, 그곳에서 악성 ZIP 압축파일을 받게 되는 흐름이 관찰됐다.

첫 번째 ZIP에는 암호화된 두 번째 ZIP과 함께 비밀번호를 적어둔 문서 파일이 포함돼 있으며, 사용자가 안내대로 압축을 해제하면 Setup.exe로 이름을 바꾼 정상 파이썬 인터프리터가 실행되도록 구성됐다. 이 실행 과정이 mshta.exe를 호출해 원격 서버에서 CountLoader를 내려받도록 연결되는 것이 핵심이다.

실무 포인트: “정상처럼 보이는 실행 체인”
파일명은 Setup.exe처럼 평범하지만, 실행 경로를 따라가면 mshta.exe가 등장하는 순간이 위험 신호다.
“정상 인터프리터/정상 도구” 조합은 사용자 체감 이상 징후를 낮추는 데 자주 활용된다.

지속성 확보: 예약 작업 위장과 재접속용 예비 도메인

CountLoader는 침투 이후 장기 거점 확보에 집중하는데, 예약 작업을 만들면서 GoogleTaskSystem136.0.7023.12처럼 구글 관련 시스템 작업을 연상시키는 이름을 사용하는 위장이 언급됐다. 또한 30분마다 반복 실행되도록 설정해 감염이 장기화될 가능성을 키우는 흐름이 확인됐다.

특정 주소가 차단되더라도 다시 접속을 시도할 수 있도록 예비 도메인을 준비하는 방식도 함께 쓰여, “URL 차단만으로는 끊기지 않는” 구조가 만들어진다.

탐지 회피: 보안 제품 확인 후 실행 분기

탐지 회피 단계에서는 보안 제품 존재 여부를 확인한 뒤 실행 방식을 바꾸는 분기 동작이 포함된 것으로 분석됐다. 예시로 WMI를 통해 크라우드스트라이크 팔콘 설치 여부를 점검하고, 조건에 따라 mshta.exe 호출 방식을 백그라운드 형태로 변형해 흔적과 탐지 가능성을 낮추는 흐름이 언급됐다.

이후 CountLoader는 감염 호스트의 환경 정보를 수집해 다음 단계 페이로드를 선택적으로 내려받고 실행하는 역할을 수행한다. 즉, CountLoader 자체는 “최종 악성코드”라기보다 “다음 단계 전달”에 최적화된 로더로 보는 편이 맞다.

USB 확산: LNK로 정상 파일을 열며 뒤에서 실행

최신 변형에서 눈에 띄는 변화는 USB 이동식 저장매체를 통한 확산 기능이다. 이동식 드라이브의 정상 파일 옆에 악성 바로가기(LNK)를 생성해 클릭을 유도하고, 사용자가 바로가기를 실행하면 정상 파일을 열어 이상을 느끼지 않게 하면서도 동시에 mshta.exe를 통해 악성 동작을 병행하도록 구성된 것으로 전해졌다.

이 캠페인에서 최종적으로 투입된 악성코드는 민감정보 탈취형 인포스틸러로 알려진 ACR Stealer가 언급됐으며, 감염 시스템에서 다양한 민감 데이터를 수집하는 데 초점이 맞춰진 정황이 함께 전해졌다.

GachiLoader: 유튜브 ‘고스트 네트워크’로 신뢰를 연출

또 다른 흐름에서는 탈취된 유튜브 계정을 이용해 악성 설치 프로그램을 소개하는 영상으로 신뢰를 만들고, 설명란·댓글·외부 링크로 사용자를 유도하는 방식이 활용됐다. 이번 사례에서 확인된 GachiLoader는 노드(Node.js) 기반 자바스크립트 로더로, 난독화 수준이 높고 감염 이후 추가 페이로드를 단계적으로 투하하는 구조가 특징으로 설명된다.

캠페인과 연계된 영상은 약 100개 수준으로 식별됐고 누적 조회수는 약 22만 회로 집계됐으며, 업로드에 사용된 계정은 39개로 파악됐고 가장 이른 업로드 시점은 2024년 12월 22일로 언급됐다.

실무 포인트: “조회수·댓글은 보안 신호가 아니다”
유튜브 기반 유포는 외형적 신뢰(조회수, 댓글, 채널 이력)를 악용해 다운로드·실행 행동을 끌어낸다.
링크를 따라 실행 파일을 내려받는 순간부터가 공격 흐름의 시작이 될 수 있다.

권한 상승·우회: UAC 유도와 예외 설정 시도

GachiLoader는 감염 이후 분석 방해와 보안 우회를 위한 절차를 함께 수행한 것으로 언급됐다. 예를 들어 관리자 권한 여부 확인을 위해 net session 명령을 실행하고, 권한이 낮으면 UAC 프롬프트를 띄워 관리자 실행을 유도하는 방식이 포함됐다.

또한 마이크로소프트 디펜더와 연관된 프로세스를 종료하려 시도하고, 특정 폴더 경로에 예외 설정을 추가해 후속 악성 파일이 탐지되지 않도록 하는 동작도 보고됐다. 이후에는 원격 주소에서 직접 페이로드를 내려받아 실행하거나, Kidkadi로 불리는 별도 로더를 호출해 다음 단계 악성코드를 로딩하는 흐름이 관찰됐다.

Kidkadi와 PE 인젝션 변형: 정상 DLL을 이용한 바꿔치기

특히 Kidkadi는 윈도우 내부 동작을 이용한 PE 인젝션 변형이 언급됐다. 정상 DLL을 먼저 로드한 뒤, 벡터 예외 처리(Vectored Exception Handling) 기법을 악용해 실행 도중 정상 DLL을 악성 페이로드로 바꿔치기하는 방식으로 설명된다.

이 유포망에서는 Rhadamanthys 같은 인포스틸러 전달 정황도 함께 언급돼, 로더가 상황에 따라 최종 악성코드를 유연하게 바꿔 끼우는 “배달 플랫폼”처럼 활용되고 있음을 시사한다. 결과적으로 CountLoader와 GachiLoader 모두 “최종 타격”보다 “연결과 지속성”에 초점을 둔 로더 계열로 정리된다.

조직 대응: 차단 정책 + 행위 기반 탐지 + 헌팅 체크

이번 두 캠페인의 공통점은 사용자의 다운로드·설치 행동을 출발점으로 삼고, 정상 시스템 도구를 악용해 흔적을 줄이며, 예약 작업이나 예외 설정 등 운영체제 기능으로 장기 거점을 만드는 전형이 결합됐다는 점이다. 따라서 “파일 해시/URL 차단” 단독 접근보다, 흐름 전체를 전제로 한 탐지·헌팅이 유효하다.

우선순위 높은 점검 항목
mshta.exe 호출이 설치/업데이트/문서 실행 흐름에서 비정상적으로 등장하는지 확인한다.
구글/시스템 작업처럼 보이는 이름의 예약 작업이 새로 생성됐는지, 30분 주기 반복 실행 여부를 함께 본다.
이동식 드라이브에서 정상 파일 옆 LNK가 갑자기 늘어났는지, 사용자 클릭 이벤트와 결합해 추적한다.
디펜더 예외 추가, 보안 프로세스 종료 시도, 권한 상승(UAC 유도) 흔적을 묶어 상관 분석한다.
브라우저 자격증명 접근, 민감정보 수집 흔적 등 인포스틸러 단계 징후를 함께 점검한다.

정리하면, CountLoader와 GachiLoader는 “실행 파일 한 번”에서 끝나지 않고 단계적으로 악성코드를 내려받아 투하하는 구조를 전제로 움직인다. 불법 소프트웨어 설치 차단과 함께, mshta.exe·예약 작업·LNK·예외 설정 같은 행위 징후를 묶어 탐지와 대응 체계를 강화하는 것이 핵심이다.