תוכנה זדונית של GachiLoader
חוקרי אבטחה חשפו תוכנה זדונית חדשה מבוססת JavaScript המכונה GachiLoader, שפותחה באמצעות Node.js ומוגנת על ידי ערפול כבד. תוכנה זדונית זו מופצת באופן פעיל דרך מה שנקרא רשת רוחות YouTube, אוסף של חשבונות YouTube חטופים שנועדו להפיץ תוכן זדוני למשתמשים תמימים.
תוכן העניינים
ניצול לרעה של יוטיוב לצורך הפצת תוכנות זדוניות
הקמפיין מנצל חשבונות יוצרים שנפרצו כדי להעלות סרטונים עם נשק שמפנים את הצופים להורדות המכילות תוכנות זדוניות. זוהו כ-100 סרטונים הקשורים לפעולה זו, וצברו יחד כ-220,000 צפיות. העלאות אלו מקורן ב-39 חשבונות שנפרצו, כאשר הפעילות המוקדמת ביותר מתוארכת ל-22 בדצמבר 2024. בעוד שגוגל הסירה מאז את רוב התוכן, טווח ההגעה שהושג לפני הסרת התוכן מדגיש את יעילות שיטת ההפצה.
משלוח מטען מתקדם דרך קידקאדי
גרסה אחת שנצפתה של GachiLoader פורסת רכיב זדוני משני בשם Kidkadi, אשר מציג גישת הזרקה לא שגרתית של קובץ הפעלה נייד (PE). במקום לטעון ישירות קובץ בינארי זדוני, הטכניקה טוענת בתחילה קובץ DLL לגיטימי ולאחר מכן מנצלת את Vectored Exception Handling (VEH) כדי להחליף אותו באופן דינמי במטען זדוני במהלך זמן הריצה. החלפה תוך כדי תנועה זו מאפשרת לתוכנה הזדונית להשתלב עם תהליכים לגיטימיים.
יכולת רב-מטענים ופעולות חשאיות
מעבר ל-Kidkadi, GachiLoader תועד גם כשהוא מספק את גנב המידע Rhadamanthys, מה שמדגים את גמישותו כפלטפורמת משלוח תוכנות זדוניות. כמו טוענים מודרניים אחרים, הוא נועד לאחזר ולפרוס מטענים נוספים תוך ביצוע בו זמנית בדיקות אנטי-אנליזה והתחמקות נרחבות כדי להפריע לגילוי ולחקירה משפטית.
הסלמת פריבילגיות באמצעות הנדסה חברתית
הטוען בודק האם הוא פועל עם הרשאות ניהול על ידי הפעלת הפקודה net session. אם בדיקה זו נכשלת, הוא מנסה להפעיל את עצמו מחדש עם הרשאות מוגברות, מה שיגרום לתיבת דו-שיח של בקרת חשבון משתמש (UAC). מכיוון שהתוכנה הזדונית מוטמעת בדרך כלל במתקינים מזויפים המתחזים לתוכנה פופולרית, בדומה לטכניקות שנראו בעבר עם CountLoader, סביר להניח שהקורבנות יאשרו את הבקשה, תוך מתן גישה מוגברת מבלי דעת.
ניטרול Microsoft Defender
בשלב הביצוע הסופי שלו, GachiLoader מנסה באופן פעיל להחליש את הגנות האבטחה המובנות. הוא מכוון ומסיים את SecHealthUI.exe, תהליך המקושר ל-Microsoft Defender, ולאחר מכן מגדיר כללי אי-הכללה כדי למנוע סריקה של ספריות ספציפיות כגון תיקיות משתמש, ProgramData ונתיבי מערכת של Windows. זה מבטיח שכל מטען מבוים או שהורדו יישארו בלתי מזוהים.
נתיב ביצוע המטען הסופי
לאחר דיכוי ההגנות, GachiLoader מאחזר את הנוזקה הסופית ישירות משרת מרוחק או מפעיל טוען עזר בשם kidkadi.node. רכיב זה שוב מנצל לרעה את Vectored Exception Handling כדי לטעון את המטען הזדוני העיקרי, תוך שמירה על עקביות עם העיצוב הממוקד בהתגנבות של הטוען.
השלכות על מגינים וחוקרים
השחקן שמאחורי GachiLoader מפגין הבנה עמוקה של המערכות הפנימיות של Windows ופיתח בהצלחה טכניקת הזרקה ידועה לגרסה חמקמקה יותר. פיתוח זה מחזק את החשיבות של מגיני תוכנות זדוניות לעקוב באופן רציף אחר ההתקדמות בשיטות הזרקת PE וארכיטקטורות מבוססות טוען, שכן גורמי איום משכללים באופן עקבי את הטקטיקות שלהם כדי לעקוף בקרות אבטחה מודרניות.
