GachiLoader मैलवेयर
सुरक्षा शोधकर्ताओं ने GachiLoader नामक एक नए JavaScript-आधारित मैलवेयर लोडर का पता लगाया है, जिसे Node.js का उपयोग करके विकसित किया गया है और भारी सुरक्षा कवच से सुरक्षित किया गया है। यह मैलवेयर YouTube Ghost Network के माध्यम से सक्रिय रूप से फैल रहा है, जो कि हैक किए गए YouTube खातों का एक समूह है, जिनका उपयोग भोले-भाले उपयोगकर्ताओं को दुर्भावनापूर्ण सामग्री वितरित करने के लिए किया जाता है।
विषयसूची
मैलवेयर वितरण के लिए यूट्यूब का दुरुपयोग
इस अभियान में हैक किए गए क्रिएटर अकाउंट्स का इस्तेमाल करके ऐसे वीडियो अपलोड किए जाते हैं जो दर्शकों को मैलवेयर से भरे डाउनलोड की ओर ले जाते हैं। इस ऑपरेशन से जुड़े लगभग 100 वीडियो की पहचान की गई है, जिन्हें मिलाकर लगभग 220,000 बार देखा गया है। ये वीडियो 39 हैक किए गए अकाउंट्स से अपलोड किए गए थे, और सबसे पहली गतिविधि 22 दिसंबर, 2024 की है। हालांकि Google ने बाद में अधिकांश कंटेंट हटा दिया, लेकिन हटाए जाने से पहले इसकी पहुंच इस वितरण विधि की प्रभावशीलता को दर्शाती है।
किडकडी के माध्यम से उन्नत पेलोड डिलीवरी
GachiLoader के एक ज्ञात वेरिएंट में Kidkadi नामक एक द्वितीयक मैलवेयर घटक का उपयोग किया जाता है, जो पोर्टेबल एक्जीक्यूटेबल (PE) इंजेक्शन का एक अपरंपरागत तरीका अपनाता है। यह तकनीक किसी दुर्भावनापूर्ण बाइनरी को सीधे लोड करने के बजाय, पहले एक वैध DLL को लोड करती है और फिर रनटाइम के दौरान वेक्टर्ड एक्सेप्शन हैंडलिंग (VEH) का उपयोग करके उसे गतिशील रूप से एक दुर्भावनापूर्ण पेलोड से बदल देती है। यह त्वरित प्रतिस्थापन मैलवेयर को वैध प्रक्रियाओं के साथ घुलमिल जाने में सक्षम बनाता है।
मल्टी-पेलोड क्षमता और गुप्त संचालन
किडकडी के अलावा, गाचीलोडर को राडामैंथिस सूचना चोरी करने वाले मैलवेयर को डिलीवर करते हुए भी देखा गया है, जो मैलवेयर डिलीवरी प्लेटफॉर्म के रूप में इसकी लचीलता को दर्शाता है। अन्य आधुनिक लोडर्स की तरह, इसे अतिरिक्त पेलोड लाने और तैनात करने के लिए डिज़ाइन किया गया है, साथ ही यह व्यापक एंटी-एनालिसिस और इवेज़न जांच भी करता है ताकि पहचान और फोरेंसिक जांच में बाधा उत्पन्न हो सके।
सोशल इंजीनियरिंग के माध्यम से विशेषाधिकार वृद्धि
लोडर यह जांचने के लिए नेट सेशन कमांड चलाता है कि क्या वह प्रशासनिक विशेषाधिकारों के साथ चल रहा है। यदि यह परीक्षण विफल हो जाता है, तो यह उच्च अधिकारों के साथ स्वयं को पुनः लॉन्च करने का प्रयास करता है, जिससे उपयोगकर्ता खाता नियंत्रण (यूएसी) संवाद बॉक्स खुलता है। चूंकि मैलवेयर आमतौर पर लोकप्रिय सॉफ़्टवेयर के रूप में दिखने वाले नकली इंस्टॉलर में छिपा होता है, जैसा कि पहले काउंटलोडर के मामले में देखा गया था, इसलिए पीड़ित अनजाने में इस अनुरोध को स्वीकार कर लेते हैं और उच्च पहुंच प्रदान कर देते हैं।
माइक्रोसॉफ्ट डिफेंडर को निष्क्रिय करना
अपने अंतिम निष्पादन चरण में, GachiLoader अंतर्निहित सुरक्षा प्रणालियों को कमजोर करने का सक्रिय रूप से प्रयास करता है। यह Microsoft Defender से जुड़े SecHealthUI.exe नामक प्रोसेस को लक्षित करके उसे समाप्त करता है, और फिर उपयोगकर्ता फ़ोल्डर, प्रोग्राम डेटा और विंडोज सिस्टम पथ जैसी विशिष्ट निर्देशिकाओं की स्कैनिंग को रोकने के लिए बहिष्करण नियम कॉन्फ़िगर करता है। इससे यह सुनिश्चित होता है कि कोई भी स्टेज्ड या डाउनलोड किया गया पेलोड अनडिटेक्टेड रहे।
अंतिम पेलोड निष्पादन पथ
सुरक्षा तंत्र के निष्क्रिय हो जाने के बाद, GachiLoader या तो अंतिम मैलवेयर को सीधे रिमोट सर्वर से प्राप्त करता है या kidkadi.node नामक एक सहायक लोडर को सक्रिय करता है। यह घटक लोडर के गुप्त रूप से काम करने वाले डिज़ाइन के अनुरूप, मुख्य दुर्भावनापूर्ण पेलोड को लोड करने के लिए वेक्टर्ड एक्सेप्शन हैंडलिंग का दुरुपयोग करता है।
रक्षकों और शोधकर्ताओं के लिए निहितार्थ
GachiLoader के पीछे के डेवलपर ने विंडोज़ की आंतरिक कार्यप्रणाली की गहरी समझ प्रदर्शित की है और एक ज्ञात इंजेक्शन तकनीक को सफलतापूर्वक एक अधिक गुप्त और भेद्य रूप में विकसित किया है। यह विकास सुरक्षाकर्मियों और मैलवेयर विश्लेषकों के लिए पीई इंजेक्शन विधियों और लोडर-आधारित आर्किटेक्चर में हो रहे विकास पर निरंतर नज़र रखने के महत्व को रेखांकित करता है, क्योंकि हमलावर आधुनिक सुरक्षा नियंत्रणों को दरकिनार करने के लिए लगातार अपनी रणनीति को परिष्कृत कर रहे हैं।
