Zlonamjerni softver GachiLoader
Sigurnosni istraživači otkrili su novoidentificirani program za učitavanje zlonamjernog softvera temeljen na JavaScriptu poznat kao GachiLoader, razvijen pomoću Node.js-a i zaštićen teškim zamagljivanjem. Ovaj zlonamjerni softver aktivno se širi putem takozvane YouTube Ghost Network, skupine otetih YouTube računa koji se prenamjenjuju za distribuciju zlonamjernog sadržaja ništa ne slutećim korisnicima.
Sadržaj
Zloupotreba YouTubea za distribuciju zlonamjernog softvera
Kampanja koristi kompromitirane račune kreatora za postavljanje videozapisa koji su preusmjeravali gledatelje na preuzimanja puna zlonamjernog softvera. Identificirano je otprilike 100 videozapisa povezanih s ovom operacijom, koji su zajedno privukli oko 220 000 pregleda. Ovi prijenosi potječu s 39 hakiranih računa, a najranija aktivnost datira iz 22. prosinca 2024. Iako je Google od tada uklonio većinu sadržaja, doseg postignut prije uklanjanja naglašava učinkovitost metode distribucije.
Napredna dostava korisnog tereta putem Kidkadija
Jedna uočena varijanta GachiLoadera koristi sekundarnu zlonamjernu komponentu pod nazivom Kidkadi, koja uvodi nekonvencionalni pristup ubrizgavanja prenosivih izvršnih datoteka (PE). Umjesto izravnog učitavanja zlonamjerne binarne datoteke, tehnika prvo učitava legitimnu DLL datoteku, a zatim iskorištava vektorsko rukovanje iznimkama (VEH) kako bi je dinamički zamijenila zlonamjernim teretom tijekom izvođenja. Ova zamjena u hodu omogućuje zlonamjernom softveru da se stopi s legitimnim procesima.
Mogućnost višestrukog korisnog tereta i prikrivene operacije
Osim Kidkadija, dokumentirano je i da GachiLoader isporučuje Rhadamanthys kradljivca informacija, demonstrirajući njegovu fleksibilnost kao platforme za isporuku zlonamjernog softvera. Poput drugih modernih učitavača, dizajniran je za dohvaćanje i postavljanje dodatnih korisnih podataka, a istovremeno provodi opsežne provjere protiv analize i izbjegavanja kako bi se otežalo otkrivanje i forenzička istraga.
Eskalacija privilegija putem socijalnog inženjeringa
Učitavač provjerava izvršava li se s administratorskim privilegijama pokretanjem naredbe net session. Ako ovaj test ne uspije, pokušava se ponovno pokrenuti s povišenim pravima, što pokreće dijalog Kontrole korisničkih računa (UAC). Budući da je zlonamjerni softver obično ugrađen u lažne instalacijske programe koji se predstavljaju kao popularni softver, slično tehnikama koje su prethodno viđene s CountLoaderom, žrtve će vjerojatno odobriti zahtjev, nesvjesno odobravajući povišena prava pristupa.
Neutraliziranje Microsoft Defendera
U svojoj završnoj fazi izvršavanja, GachiLoader aktivno pokušava oslabiti ugrađene sigurnosne obrane. Cilja i prekida SecHealthUI.exe, proces povezan s Microsoft Defenderom, a zatim konfigurira pravila izuzeća kako bi spriječio skeniranje određenih direktorija kao što su korisničke mape, ProgramData i putevi sustava Windows. To osigurava da svi pripremljeni ili preuzeti korisni sadržaji ostanu neotkriveni.
Konačni put izvršavanja korisnog tereta
Nakon što se obrana potisne, GachiLoader ili dohvaća konačni zlonamjerni softver izravno s udaljenog poslužitelja ili poziva pomoćni program za učitavanje pod nazivom kidkadi.node. Ova komponenta ponovno zloupotrebljava Vectored Exception Handling za učitavanje primarnog zlonamjernog sadržaja, održavajući dosljednost s dizajnom programa za učitavanje usmjerenim na prikrivenost.
Implikacije za branitelje i istraživače
Glumac koji stoji iza GachiLoadera pokazuje duboko razumijevanje unutarnjeg rada Windowsa i uspješno je razvio poznatu tehniku ubrizgavanja u izbjegavajuću varijantu. Ovaj razvoj naglašava važnost da branitelji i analitičari zlonamjernog softvera kontinuirano prate napredak u metodama ubrizgavanja PE-a i arhitekturama temeljenim na učitavačima, jer akteri prijetnji uporno usavršavaju svoje taktike kako bi zaobišli moderne sigurnosne kontrole.
