Зловреден софтуер GachiLoader
Изследователи по сигурността откриха новоидентифициран JavaScript-базиран зареждащ механизъм за зловреден софтуер, известен като GachiLoader, разработен с помощта на Node.js и защитен чрез тежко обфускация. Този зловреден софтуер се разпространява активно чрез така наречената YouTube Ghost Network, колекция от отвлечени акаунти в YouTube, използвани за разпространение на злонамерено съдържание сред нищо неподозиращи потребители.
Съдържание
Злоупотреба с YouTube за разпространение на зловреден софтуер
Кампанията използва компрометирани акаунти на създатели, за да качва видеоклипове, използвани като оръжие, които пренасочват зрителите към файлове за изтегляне, съдържащи зловреден софтуер. Идентифицирани са приблизително 100 видеоклипа, свързани с тази операция, които общо са привлекли около 220 000 гледания. Тези качвания произхождат от 39 хакерски акаунта, като най-ранната активност е проследена до 22 декември 2024 г. Въпреки че Google оттогава е премахнала по-голямата част от съдържанието, обхватът, постигнат преди премахването му, подчертава ефективността на метода на разпространение.
Разширена доставка на полезен товар чрез Kidkadi
Един наблюдаван вариант на GachiLoader внедрява вторичен компонент на зловреден софтуер, наречен Kidkadi, който въвежда нетрадиционен подход за инжектиране на преносими изпълними файлове (PE). Вместо директно зареждане на злонамерен двоичен файл, техниката първоначално зарежда легитимен DLL файл и след това използва Vectored Exception Handling (VEH), за да го замени динамично със злонамерен полезен товар по време на изпълнение. Това заместване в движение позволява на зловредния софтуер да се слее с легитимни процеси.
Възможност за множество полезни товари и скрити операции
Освен Kidkadi, GachiLoader е документиран и като доставчик на информационния стейлъра Rhadamanthys, демонстрирайки своята гъвкавост като платформа за доставка на зловреден софтуер. Подобно на други съвременни зареждащи програми, той е проектиран да извлича и разполага допълнителни полезни товари, като едновременно с това извършва обширни анти-анализни и избягващи проверки, за да възпрепятства откриването и криминалистичното разследване.
Ескалация на привилегиите чрез социално инженерство
Зареждащата програма проверява дали се изпълнява с администраторски права, като изпълни командата net session. Ако този тест е неуспешен, тя се опитва да се рестартира с повишени права, което води до диалогов прозорец за контрол на потребителските акаунти (UAC). Тъй като зловредният софтуер често е вграден във фалшиви инсталатори, представящи се за популярен софтуер, подобно на техниките, наблюдавани преди с CountLoader, жертвите вероятно ще одобрят заявката, като несъзнателно предоставят повишен достъп.
Неутрализиране на Microsoft Defender
В последния си етап на изпълнение, GachiLoader активно се опитва да отслаби вградените защитни механизми. Той атакува и прекратява SecHealthUI.exe, процес, свързан с Microsoft Defender, и след това конфигурира правила за изключване, за да предотврати сканирането на конкретни директории, като например потребителски папки, ProgramData и системни пътища на Windows. Това гарантира, че всички поетапно генерирани или изтеглени полезни товари остават неоткрити.
Краен път на изпълнение на полезния товар
След като защитите бъдат потиснати, GachiLoader или извлича крайния зловреден софтуер директно от отдалечен сървър, или извиква спомагателен зареждащ компонент, наречен kidkadi.node. Този компонент отново злоупотребява с Vectored Exception Handling, за да зареди основния зловреден полезен товар, поддържайки съгласуваност с дизайна на зареждащия компонент, фокусиран върху скритостта.
Последици за защитниците и изследователите
Авторът на GachiLoader демонстрира задълбочено разбиране на вътрешните механизми на Windows и успешно е развил известна техника за инжектиране в по-уклончив вариант. Това развитие засилва важността защитниците и анализаторите на зловреден софтуер непрекъснато да следят напредъка в методите за инжектиране на PE и архитектурите, базирани на зареждащи програми, тъй като злонамерените лица постоянно усъвършенстват тактиките си, за да заобиколят съвременните контроли за сигурност.
