Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós GachiLoader

Programari maliciós GachiLoader

El Mezo el Programari maliciós
Traduir a:

Investigadors de seguretat han descobert un carregador de programari maliciós basat en JavaScript recentment identificat conegut com a GachiLoader, desenvolupat amb Node.js i protegit amb una forta ofuscació. Aquest programari maliciós es propaga activament a través de l'anomenada YouTube Ghost Network, un conjunt de comptes de YouTube segrestats que es reutilitzen per distribuir contingut maliciós a usuaris desprevinguts.

Abús de YouTube per a la distribució de programari maliciós

La campanya aprofita els comptes de creadors compromesos per penjar vídeos modificats que redirigeixen els espectadors a descàrregues carregades de programari maliciós. S'han identificat aproximadament 100 vídeos relacionats amb aquesta operació, que en conjunt han generat unes 220.000 visualitzacions. Aquestes càrregues es van originar en 39 comptes vulnerats, i la primera activitat es remunta al 22 de desembre de 2024. Tot i que Google ha eliminat la major part del contingut des de llavors, l'abast aconseguit abans de la retirada subratlla l'eficàcia del mètode de distribució.

Lliurament avançat de càrrega útil a través de Kidkadi

Una variant observada de GachiLoader implementa un component secundari de programari maliciós anomenat Kidkadi, que introdueix un enfocament d'injecció de Portable Executable (PE) poc convencional. En lloc de carregar directament un binari maliciós, la tècnica carrega inicialment una DLL legítima i després explota el Vectored Exception Management (VEH) per substituir-la dinàmicament per una càrrega útil maliciosa durant l'execució. Aquesta substitució sobre la marxa permet que el programari maliciós es barregi amb els processos legítims.

Capacitat de càrrega múltiple i operacions furtives

A més de Kidkadi, també s'ha documentat que GachiLoader proporciona el lladre d'informació Rhadamanthys, demostrant la seva flexibilitat com a plataforma de lliurament de programari maliciós. Com altres carregadors moderns, està dissenyat per obtenir i desplegar càrregues útils addicionals alhora que realitza extenses comprovacions antianàlisi i evasió per dificultar la detecció i la investigació forense.

Escalada de privilegis mitjançant enginyeria social

El carregador comprova si s'està executant amb privilegis d'administrador executant l'ordre net session. Si aquesta prova falla, intenta rellançar-se amb drets elevats, cosa que provoca un quadre de diàleg de Control de comptes d'usuari (UAC). Com que el programari maliciós sol estar integrat en instal·ladors falsos que es fan passar per programari popular, de manera similar a les tècniques vistes anteriorment amb CountLoader, és probable que les víctimes aprovin la sol·licitud, atorgant sense saber-ho accés elevat.

Neutralització del Microsoft Defender

En la seva fase d'execució final, GachiLoader intenta activament debilitar les defenses de seguretat integrades. Ataca i finalitza SecHealthUI.exe, un procés vinculat a Microsoft Defender, i després configura regles d'exclusió per evitar l'escaneig de directoris específics com ara carpetes d'usuari, ProgramData i rutes del sistema de Windows. Això garanteix que qualsevol càrrega útil preparada o descarregada no es detecti.

Ruta d’execució de la càrrega útil final

Un cop suprimides les defenses, GachiLoader recupera el programari maliciós final directament d'un servidor remot o invoca un carregador auxiliar anomenat kidkadi.node. Aquest component torna a abusar de la gestió d'excepcions vectoritzades per carregar la càrrega útil maliciosa principal, mantenint la coherència amb el disseny centrat en la furtivitat del carregador.

Implicacions per a defensors i investigadors

L'actor que hi ha darrere de GachiLoader demostra un profund coneixement dels components interns de Windows i ha evolucionat amb èxit una tècnica d'injecció coneguda en una variant més evasiva. Aquest desenvolupament reforça la importància que els defensors i els analistes de programari maliciós facin un seguiment continu dels avenços en els mètodes d'injecció de PE i les arquitectures basades en carregadors, ja que els actors d'amenaces refinen persistentment les seves tàctiques per eludir els controls de seguretat moderns.

Tendència

Estafa de correu electrònic per a la suspensió del...

Phishing, Correu brossa
Els ciberdelinqüents sovint abusen de termes i serveis tècnics de confiança per fer que les seves estafes semblin creïbles. L'estafa de correu electrònic de suspensió de comptes de cPanel és un clar exemple d'aquesta tàctica, que utilitza un llenguatge alarmant per pressionar els destinataris perquè actuïn ràpidament. Aquests correus electrònics són completament fraudulents i no estan associats...

Més vist

Carregant...