GachiLoader kártevő
Biztonsági kutatók felfedeztek egy újonnan azonosított, JavaScript-alapú kártevő betöltőt, a GachiLoader-t, amelyet Node.js segítségével fejlesztettek ki, és erős obfuszkációval védenek. Ez a kártevő aktívan terjed az úgynevezett YouTube Ghost Networkön keresztül, amely feltört YouTube-fiókok gyűjteménye, amelyeket arra használnak, hogy rosszindulatú tartalmakat terjesszenek gyanútlan felhasználóknak.
Tartalomjegyzék
A YouTube-bal való visszaélés kártevők terjesztésére
A kampány feltört alkotói fiókokat használ fel fegyverként használt videók feltöltésére, amelyek kártékony programokkal teli letöltésekre irányítják át a nézőket. Nagyjából 100, ehhez a művelethez kapcsolódó videót azonosítottak, amelyek összesen körülbelül 220 000 megtekintést értek el. Ezek a feltöltések 39 feltört fiókból származnak, a legkorábbi aktivitás 2024. december 22-re vezethető vissza. Bár a Google azóta a tartalom nagy részét eltávolította, az eltávolítás előtt elért elértség kiemeli a terjesztési módszer hatékonyságát.
Speciális hasznos teher szállítás Kidkadin keresztül
A GachiLoader egyik megfigyelt változata egy Kidkadi nevű másodlagos kártevő-komponenst telepít, amely egy szokatlan Portable Executable (PE) injekciós megközelítést vezet be. A rosszindulatú bináris fájl közvetlen betöltése helyett a technika először egy legitim DLL-t tölt be, majd a Vectored Exception Handling (VEH) technológiát kihasználva dinamikusan lecseréli azt egy rosszindulatú hasznos fájlra futásidőben. Ez a menet közbeni helyettesítés lehetővé teszi, hogy a kártevő beolvadjon a legitim folyamatokba.
Több hasznos teher szállítására alkalmas és lopakodó működés
A Kidkadin kívül a GachiLoaderről dokumentálták a Rhadamanthys információlopó vírus szállítását is, ami demonstrálja rugalmasságát rosszindulatú programok szállítási platformjaként. Más modern betöltőkhöz hasonlóan úgy tervezték, hogy további hasznos adatokat kérjen le és telepítsen, miközben egyidejűleg kiterjedt anti-analízis és kijátszási ellenőrzéseket végez a felderítés és a kriminalisztikai nyomozás akadályozása érdekében.
Privilégiumok eszkalációja társadalmi manipuláció révén
A betöltő a net session parancs futtatásával ellenőrzi, hogy rendszergazdai jogosultságokkal fut-e. Ha ez a teszt sikertelen, megpróbálja újraindítani magát emelt jogosultságokkal, ami egy Felhasználói fiókok felügyelete (UAC) párbeszédpanelt jelenít meg. Mivel a rosszindulatú program gyakran beágyazódik a népszerű szoftvereknek álcázott hamis telepítőkbe – hasonlóan a CountLoaderrel korábban látott technikákhoz –, az áldozatok valószínűleg jóváhagyják a kérést, tudtukon kívül emelt szintű hozzáférést biztosítva.
A Microsoft Defender semlegesítése
Végső végrehajtási szakaszában a GachiLoader aktívan megpróbálja gyengíteni a beépített biztonsági védelmet. Célzottan leállítja a SecHealthUI.exe folyamatot, amely a Microsoft Defenderhez kapcsolódik, majd kizárási szabályokat konfigurál, hogy megakadályozza bizonyos könyvtárak, például felhasználói mappák, ProgramData és Windows rendszerútvonalak vizsgálatát. Ez biztosítja, hogy a beállított vagy letöltött hasznos adatok észrevétlenek maradjanak.
Végső hasznos teher végrehajtási útvonal
Miután a védelem lecsillapodott, a GachiLoader vagy közvetlenül egy távoli szerverről tölti le a végső kártevőt, vagy meghív egy kidkadi.node nevű segédbetöltőt. Ez a komponens ismét a vektoros kivételkezelést használja az elsődleges kártékony hasznos tartalom betöltéséhez, megőrizve a betöltő lopakodásra összpontosító kialakításának konzisztenciáját.
Következtetések a védők és a kutatók számára
A GachiLoader mögött álló szereplő mélyreható ismeretekkel rendelkezik a Windows belső működéséről, és sikeresen fejlesztett egy ismert injekciós technikát egy megkerülhetőbb változattá. Ez a fejlesztés megerősíti annak fontosságát, hogy a védők és a kártevő-elemzők folyamatosan nyomon kövessék a PE injekciós módszerek és a betöltő-alapú architektúrák fejlődését, mivel a fenyegető szereplők folyamatosan finomítják taktikáikat a modern biztonsági ellenőrzések megkerülésére.
