GachiLoader Malware
보안 연구원들이 Node.js를 이용해 개발되고 강력한 난독화로 보호되는 자바스크립트 기반 악성코드 로더인 GachiLoader를 새롭게 발견했습니다. 이 악성코드는 소위 '유튜브 고스트 네트워크'를 통해 활발하게 유포되고 있는데, 이 네트워크는 악성 콘텐츠를 무방비 상태의 사용자에게 배포하기 위해 탈취된 유튜브 계정들의 모음입니다.
목차
유튜브를 악성코드 유포에 악용하는 행위
이 캠페인은 해킹당한 크리에이터 계정을 이용해 악성 동영상을 업로드하고, 시청자를 악성코드가 포함된 다운로드 링크로 리디렉션하는 수법을 사용합니다. 이 캠페인과 관련된 동영상은 약 100개로, 총 조회수는 약 22만 회에 달합니다. 해당 동영상들은 해킹당한 39개 계정에서 업로드되었으며, 가장 오래된 활동은 2024년 12월 22일로 추적되었습니다. 구글은 이후 대부분의 콘텐츠를 삭제했지만, 삭제 전 도달률은 이러한 배포 방식의 효과를 보여줍니다.
Kidkadi를 통한 고급 페이로드 전송
관찰된 GachiLoader 변종 중 하나는 Kidkadi라는 보조 악성 구성 요소를 배포하는데, 이는 기존과는 다른 PE(Portable Executable) 주입 방식을 사용합니다. 악성 바이너리를 직접 로드하는 대신, 이 기법은 먼저 정상적인 DLL을 로드한 다음 벡터 예외 처리(VEH)를 악용하여 런타임 중에 악성 페이로드로 동적으로 교체합니다. 이러한 즉석 교체를 통해 악성 프로그램은 정상적인 프로세스에 섞여 들어갈 수 있습니다.
다중 탑재 능력 및 은밀 작전
Kidkadi 외에도 GachiLoader는 Rhadamanthys 정보 탈취 악성코드를 유포하는 데 사용된 사례가 보고되어 악성코드 유포 플랫폼으로서의 유연성을 보여줍니다. 다른 최신 로더와 마찬가지로, GachiLoader는 추가 페이로드를 가져와 배포하는 동시에 탐지 및 포렌식 조사를 방해하기 위해 광범위한 분석 방지 및 회피 검사를 수행하도록 설계되었습니다.
사회공학을 통한 권한 상승
이 로더는 `net session` 명령어를 실행하여 관리자 권한으로 실행 중인지 확인합니다. 이 테스트에 실패하면 관리자 권한으로 다시 실행하려고 시도하며, 이때 사용자 계정 컨트롤(UAC) 대화 상자가 나타납니다. 이 악성 프로그램은 이전에 CountLoader에서 사용되었던 수법과 유사하게 인기 소프트웨어로 위장한 가짜 설치 프로그램에 포함되어 있는 경우가 많기 때문에, 피해자는 자신도 모르게 관리자 권한 요청을 승인할 가능성이 높습니다.
Microsoft Defender 무력화
GachiLoader는 최종 실행 단계에서 내장된 보안 방어 체계를 약화시키려고 적극적으로 시도합니다. Microsoft Defender와 연결된 프로세스인 SecHealthUI.exe를 표적으로 삼아 종료한 다음, 사용자 폴더, ProgramData, Windows 시스템 경로와 같은 특정 디렉터리에 대한 검사를 방지하는 제외 규칙을 구성합니다. 이를 통해 준비되거나 다운로드된 페이로드가 탐지되지 않도록 합니다.
최종 페이로드 실행 경로
방어 체계가 무력화되면 GachiLoader는 원격 서버에서 최종 악성코드를 직접 가져오거나 kidkadi.node라는 보조 로더를 호출합니다. 이 보조 로더 역시 벡터화된 예외 처리(Vectored Exception Handling)를 악용하여 주요 악성 페이로드를 로드함으로써, 은밀한 공격에 초점을 맞춘 설계 의도를 유지합니다.
방어자와 연구자에게 미치는 영향
GachiLoader 공격자는 윈도우 내부 구조에 대한 깊은 이해를 바탕으로 기존의 PE 파일 삽입 기법을 더욱 회피적인 변종으로 발전시켰습니다. 이러한 발전은 공격자들이 최신 보안 제어를 우회하기 위해 끊임없이 전술을 정교하게 다듬고 있기 때문에, 방어자와 악성코드 분석가들이 PE 파일 삽입 기법과 로더 기반 아키텍처의 진화를 지속적으로 추적하는 것이 얼마나 중요한지 다시 한번 보여줍니다.
