Malware GachiLoader
Bezpečnostní výzkumníci odhalili nově identifikovaný zavaděč malwaru založený na JavaScriptu, známý jako GachiLoader, vyvinutý pomocí Node.js a chráněný silným obfuskačním systémem. Tento malware se aktivně šíří prostřednictvím tzv. YouTube Ghost Network, což je soubor unesených účtů YouTube, které slouží k distribuci škodlivého obsahu nic netušícím uživatelům.
Obsah
Zneužívání YouTube k šíření malwaru
Kampaň využívá napadené účty tvůrců k nahrávání videí s malwarem, která diváky přesměrovávají na soubory ke stažení s malwarem. Bylo identifikováno zhruba 100 videí spojených s touto operací, která dohromady získala přibližně 220 000 zhlédnutí. Tato nahraná videa pocházejí z 39 napadených účtů, přičemž první aktivita byla vysledována k 22. prosinci 2024. Ačkoli Google od té doby většinu obsahu odstranil, dosah dosažený před jeho odstraněním podtrhuje efektivitu této distribuční metody.
Pokročilé doručení užitečného zatížení přes Kidkadi
Jedna pozorovaná varianta GachiLoaderu nasazuje sekundární malwarovou komponentu s názvem Kidkadi, která zavádí nekonvenční přístup k injektování přenositelných spustitelných souborů (PE). Místo přímého načítání škodlivého binárního souboru tato technika nejprve načte legitimní knihovnu DLL a poté využívá vektorovou manipulaci s výjimkami (VEH) k jejímu dynamickému nahrazení škodlivým obsahem během běhu. Tato substituce za běhu umožňuje malwaru splynout s legitimními procesy.
Schopnost nosit více užitečných nákladů a nenápadné operace
Kromě Kidkadi byl zdokumentován i GachiLoader, který dodává informační stealer Rhadamanthys, což demonstruje jeho flexibilitu jako platformy pro distribuci malwaru. Stejně jako jiné moderní zavaděče je navržen tak, aby načítal a nasazoval další datové části a zároveň prováděl rozsáhlé antianalýzy a kontroly úniku, aby se zabránilo detekci a forenznímu vyšetřování.
Eskalace privilegií prostřednictvím sociálního inženýrství
Zavaděč zkontroluje, zda se spouští s oprávněními správce, spuštěním příkazu net session. Pokud tento test selže, pokusí se znovu spustit se zvýšenými oprávněními a zobrazí dialogové okno Řízení uživatelských účtů (UAC). Protože je malware běžně integrován do falešných instalačních programů, které se vydávají za populární software, podobně jako techniky dříve pozorované u CountLoaderu, oběti pravděpodobně žádost schválí a nevědomky tak udělí zvýšená oprávnění.
Neutralizace programu Microsoft Defender
Ve své závěrečné fázi provádění se GachiLoader aktivně pokouší oslabit vestavěné bezpečnostní mechanismy. Zaměří se na a ukončí SecHealthUI.exe, proces propojený s programem Microsoft Defender, a poté nakonfiguruje pravidla vyloučení, aby zabránil skenování konkrétních adresářů, jako jsou uživatelské složky, ProgramData a systémové cesty systému Windows. Tím se zajistí, že veškeré stažené datové části zůstanou nezjištěny.
Finální cesta spuštění datového zatížení
Jakmile je obrana potlačena, GachiLoader buď načte finální malware přímo ze vzdáleného serveru, nebo spustí pomocný zavaděč s názvem kidkadi.node. Tato komponenta opět zneužívá vektorovou manipulaci s výjimkami k načtení primárního škodlivého obsahu a zachovává tak konzistenci s designem zavaděče zaměřeným na nenápadnost.
Důsledky pro obránce a výzkumníky
Tvůrce GachiLoaderu prokazuje hluboké znalosti vnitřních mechanismů Windows a úspěšně vyvinul známou techniku vkládání malwaru do podoby obcházivější varianty. Tento vývoj posiluje důležitost neustálého sledování pokroku v metodách vkládání PE a architekturách založených na zavaděčích, protože útočníci neustále zdokonalují své taktiky, aby obešli moderní bezpečnostní kontroly.
