GachiLoader-malware
Sikkerhedsforskere har afdækket en nyligt identificeret JavaScript-baseret malware-loader kendt som GachiLoader, udviklet ved hjælp af Node.js og beskyttet af omfattende obfuskation. Denne malware spredes aktivt gennem det såkaldte YouTube Ghost Network, en samling af kaprede YouTube-konti, der er genbrugt til at distribuere skadeligt indhold til intetanende brugere.
Indholdsfortegnelse
Misbrug af YouTube til distribution af malware
Kampagnen udnytter kompromitterede skaberkonti til at uploade videoer med våben, der omdirigerer seere til downloads med malware. Omkring 100 videoer med tilknytning til denne operation er blevet identificeret, og de har tilsammen tiltrukket omkring 220.000 visninger. Disse uploads stammer fra 39 hackede konti, hvor den tidligste aktivitet kan spores tilbage til 22. december 2024. Selvom Google siden har fjernet det meste af indholdet, understreger den opnåede rækkevidde før fjernelsen effektiviteten af distributionsmetoden.
Avanceret nyttelastlevering via Kidkadi
En observeret variant af GachiLoader anvender en sekundær malwarekomponent ved navn Kidkadi, som introducerer en ukonventionel Portable Executable (PE) injektionsmetode. I stedet for direkte at indlæse en skadelig binær fil, indlæser teknikken først en legitim DLL og udnytter derefter Vectored Exception Handling (VEH) til dynamisk at erstatte den med en skadelig nyttelast under kørsel. Denne on-the-fly-substitution gør det muligt for malwaren at blande sig med legitime processer.
Multi-nyttelastkapacitet og stealth-operationer
Udover Kidkadi er GachiLoader også blevet dokumenteret i forbindelse med levering af informationstyveren Rhadamanthys, hvilket demonstrerer dens fleksibilitet som en platform til levering af malware. Ligesom andre moderne loadere er den designet til at hente og implementere yderligere nyttelast, samtidig med at den udfører omfattende antianalyse- og undvigelseskontroller for at hindre detektion og retsmedicinsk undersøgelse.
Privilegieoptrapping gennem social engineering
Indlæseren kontrollerer, om den kører med administratorrettigheder, ved at køre kommandoen net session. Hvis denne test mislykkes, forsøger den at genstarte sig selv med forhøjede rettigheder, hvilket fører til en dialogboks om brugerkontokontrol (UAC). Da malwaren ofte er indlejret i falske installationsprogrammer, der udgiver sig for at være populær software, svarende til teknikker, der tidligere er set med CountLoader, er det sandsynligt, at ofrene godkender anmodningen og ubevidst giver forhøjet adgang.
Neutralisering af Microsoft Defender
I sin sidste udførelsesfase forsøger GachiLoader aktivt at svække indbyggede sikkerhedsforsvar. Den målretter og afslutter SecHealthUI.exe, en proces der er knyttet til Microsoft Defender, og konfigurerer derefter udelukkelsesregler for at forhindre scanning af specifikke mapper såsom brugermapper, ProgramData og Windows-systemstier. Dette sikrer, at eventuelle fasede eller downloadede nyttelast forbliver uopdaget.
Endelig udførelsessti for nyttelast
Når forsvaret er undertrykt, henter GachiLoader enten den endelige malware direkte fra en fjernserver eller aktiverer en hjælpeindlæser kaldet kidkadi.node. Denne komponent misbruger igen Vectored Exception Handling til at indlæse den primære skadelige nyttelast og opretholder dermed konsistens med indlæserens stealth-fokuserede design.
Implikationer for forsvarere og forskere
Aktøren bag GachiLoader demonstrerer en dyb forståelse af Windows' interne funktioner og har med succes udviklet en kendt injektionsteknik til en mere undvigende variant. Denne udvikling forstærker vigtigheden af, at forsvarere og malwareanalytikere løbende følger fremskridt inden for PE-injektionsmetoder og loader-baserede arkitekturer, i takt med at trusselsaktører konstant forfiner deres taktikker for at omgå moderne sikkerhedskontroller.
