មេរោគ GachiLoader
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញកម្មវិធីផ្ទុកមេរោគដែលមានមូលដ្ឋានលើ JavaScript ដែលទើបកំណត់អត្តសញ្ញាណថ្មីមួយ ដែលគេស្គាល់ថា GachiLoader ដែលត្រូវបានបង្កើតឡើងដោយប្រើ Node.js និងត្រូវបានការពារដោយការបិទបាំងយ៉ាងច្រើន។ មេរោគនេះត្រូវបានផ្សព្វផ្សាយយ៉ាងសកម្មតាមរយៈអ្វីដែលហៅថា YouTube Ghost Network ដែលជាការប្រមូលផ្តុំនៃគណនី YouTube ដែលត្រូវបានគេលួចចូល ដែលត្រូវបានប្រើប្រាស់ឡើងវិញដើម្បីចែកចាយខ្លឹមសារព្យាបាទដល់អ្នកប្រើប្រាស់ដែលមិនបានដឹងខ្លួន។
តារាងមាតិកា
ការរំលោភបំពាន YouTube សម្រាប់ការចែកចាយមេរោគ
យុទ្ធនាការនេះប្រើប្រាស់គណនីអ្នកបង្កើតដែលត្រូវបានលួចចូល ដើម្បីបង្ហោះវីដេអូដែលមានមេរោគ ដែលបញ្ជូនអ្នកមើលទៅកាន់ការទាញយកដែលមានមេរោគ។ វីដេអូប្រហែល 100 ដែលជាប់ទាក់ទងនឹងប្រតិបត្តិការនេះត្រូវបានកំណត់អត្តសញ្ញាណ ដែលសរុបមកមានអ្នកចូលមើលប្រហែល 220,000 ដង។ ការបង្ហោះទាំងនេះមានប្រភពមកពីគណនីចំនួន 39 ដែលត្រូវបានលួចចូល ដោយសកម្មភាពដំបូងបំផុតត្រូវបានតាមដានត្រឡប់ទៅថ្ងៃទី 22 ខែធ្នូ ឆ្នាំ 2024។ ខណៈពេលដែល Google បានលុបខ្លឹមសារភាគច្រើនចេញ ការឈានដល់ដែលសម្រេចបានមុនពេលដកចេញ បញ្ជាក់ពីប្រសិទ្ធភាពនៃវិធីសាស្ត្រចែកចាយ។
ការដឹកជញ្ជូនបន្ទុកកម្រិតខ្ពស់តាមរយៈ Kidkadi
វ៉ារ្យ៉ង់មួយដែលត្រូវបានគេសង្កេតឃើញរបស់ GachiLoader ដាក់ពង្រាយសមាសធាតុមេរោគបន្ទាប់បន្សំមួយឈ្មោះថា Kidkadi ដែលណែនាំវិធីសាស្រ្តចាក់ Portable Executable (PE) មិនធម្មតា។ ជំនួសឱ្យការផ្ទុកប្រព័ន្ធគោលពីរដែលមានគំនិតអាក្រក់ដោយផ្ទាល់ បច្ចេកទេសនេះដំបូងផ្ទុក DLL ស្របច្បាប់ ហើយបន្ទាប់មកកេងប្រវ័ញ្ច Vectored Exception Handling (VEH) ដើម្បីជំនួសវាដោយថាមវន្តជាមួយនឹងបន្ទុកដែលមានគំនិតអាក្រក់ក្នុងអំឡុងពេលដំណើរការ។ ការជំនួសភ្លាមៗនេះអនុញ្ញាតឱ្យមេរោគលាយបញ្ចូលគ្នាជាមួយដំណើរការស្របច្បាប់។
សមត្ថភាពផ្ទុកទំនិញច្រើនប្រភេទ និងប្រតិបត្តិការលាក់ខ្លួន
ក្រៅពី Kidkadi កម្មវិធី GachiLoader ក៏ត្រូវបានកត់ត្រាទុកថាកំពុងចែកចាយកម្មវិធីលួចព័ត៌មាន Rhadamanthys ដោយបង្ហាញពីភាពបត់បែនរបស់វាជាវេទិកាចែកចាយមេរោគ។ ដូចកម្មវិធីផ្ទុកទិន្នន័យទំនើបផ្សេងទៀតដែរ វាត្រូវបានរចនាឡើងដើម្បីទាញយក និងដាក់ពង្រាយបន្ទុកបន្ថែម ខណៈពេលដែលកំពុងអនុវត្តការត្រួតពិនិត្យប្រឆាំងការវិភាគ និងការគេចវេសយ៉ាងទូលំទូលាយក្នុងពេលដំណាលគ្នា ដើម្បីរារាំងការរកឃើញ និងការស៊ើបអង្កេតផ្នែកកោសល្យវិច្ច័យ។
ការបង្កើនសិទ្ធិតាមរយៈវិស្វកម្មសង្គម
កម្មវិធីផ្ទុកទិន្នន័យពិនិត្យមើលថាតើវាកំពុងប្រតិបត្តិជាមួយសិទ្ធិរដ្ឋបាលដែរឬទេ ដោយដំណើរការពាក្យបញ្ជា net session។ ប្រសិនបើការធ្វើតេស្តនេះបរាជ័យ វានឹងព្យាយាមបើកដំណើរការខ្លួនវាឡើងវិញជាមួយនឹងសិទ្ធិកម្រិតខ្ពស់ ដែលជំរុញឱ្យមានប្រអប់ User Account Control (UAC)។ ដោយសារតែមេរោគនេះត្រូវបានបង្កប់ជាទូទៅនៅក្នុងកម្មវិធីដំឡើងក្លែងក្លាយដែលធ្វើពុតជាកម្មវិធីពេញនិយម ស្រដៀងគ្នាទៅនឹងបច្ចេកទេសដែលធ្លាប់ឃើញជាមួយ CountLoader ជនរងគ្រោះទំនងជាយល់ព្រមលើសំណើ ដោយមិនដឹងខ្លួនផ្តល់សិទ្ធិចូលប្រើកម្រិតខ្ពស់។
ការបន្សាប Microsoft Defender
នៅក្នុងដំណាក់កាលប្រតិបត្តិចុងក្រោយរបស់វា GachiLoader ព្យាយាមយ៉ាងសកម្មដើម្បីធ្វើឱ្យប្រព័ន្ធការពារសុវត្ថិភាពដែលភ្ជាប់មកជាមួយចុះខ្សោយ។ វាកំណត់គោលដៅ និងបញ្ចប់ SecHealthUI.exe ដែលជាដំណើរការដែលភ្ជាប់ទៅនឹង Microsoft Defender ហើយបន្ទាប់មកកំណត់រចនាសម្ព័ន្ធច្បាប់ដកចេញដើម្បីការពារការស្កេនថតឯកសារជាក់លាក់ដូចជាថតឯកសារអ្នកប្រើប្រាស់ ProgramData និងផ្លូវប្រព័ន្ធ Windows។ នេះធានាថា payloads ណាមួយដែលបានរៀបចំ ឬទាញយកនៅតែមិនត្រូវបានរកឃើញ។
ផ្លូវប្រតិបត្តិបន្ទុកការងារចុងក្រោយ
នៅពេលដែលការការពារត្រូវបានបង្ក្រាប GachiLoader នឹងទាញយកមេរោគចុងក្រោយដោយផ្ទាល់ពីម៉ាស៊ីនមេពីចម្ងាយ ឬហៅកម្មវិធីផ្ទុកជំនួយមួយហៅថា kidkadi.node។ សមាសភាគនេះរំលោភបំពាន Vectored Exception Handling ម្តងទៀតដើម្បីផ្ទុកបន្ទុកព្យាបាទចម្បង ដោយរក្សាភាពស៊ីសង្វាក់គ្នាជាមួយនឹងការរចនាផ្តោតលើការលួចលាក់របស់កម្មវិធីផ្ទុក។
ផលប៉ះពាល់សម្រាប់អ្នកការពារ និងអ្នកស្រាវជ្រាវ
តួអង្គនៅពីក្រោយ GachiLoader បង្ហាញពីការយល់ដឹងយ៉ាងស៊ីជម្រៅអំពីផ្នែកខាងក្នុងរបស់ Windows ហើយបានវិវត្តន៍ដោយជោគជ័យនូវបច្ចេកទេសចាក់បញ្ចូលដែលគេស្គាល់ទៅជាបំរែបំរួលដែលអាចគេចវេសបាន។ ការអភិវឌ្ឍនេះពង្រឹងសារៈសំខាន់សម្រាប់អ្នកការពារ និងអ្នកវិភាគមេរោគ ដើម្បីតាមដានវឌ្ឍនភាពជាបន្តបន្ទាប់នៅក្នុងវិធីសាស្ត្រចាក់បញ្ចូល PE និងស្ថាបត្យកម្មដែលមានមូលដ្ឋានលើកម្មវិធីផ្ទុក ខណៈដែលតួអង្គគំរាមកំហែងកំពុងកែលម្អយុទ្ធសាស្ត្ររបស់ពួកគេឥតឈប់ឈរ ដើម្បីរំលងការគ្រប់គ្រងសុវត្ថិភាពទំនើប។
