„GachiLoader“ kenkėjiška programa
Saugumo tyrėjai atrado naujai identifikuotą „JavaScript“ pagrindu sukurtą kenkėjiškų programų įkėlimo programą, vadinamą „GachiLoader“, sukurtą naudojant „Node.js“ ir apsaugotą stipriu kodavimo mechanizmu. Ši kenkėjiška programa aktyviai platinama per vadinamąjį „YouTube Ghost Network“ – užgrobtų „YouTube“ paskyrų rinkinį, skirtą platinti kenkėjišką turinį nieko neįtariantiems vartotojams.
Turinys
„YouTube“ piktnaudžiavimas kenkėjiškų programų platinimui
Kampanija pasitelkia pažeistas kūrėjų paskyras, kad įkeltų ginkluotus vaizdo įrašus, kurie nukreipia žiūrovus į kenkėjiškų programų turinčius atsisiuntimus. Nustatyta maždaug 100 su šia operacija susijusių vaizdo įrašų, kurie iš viso surinko apie 220 000 peržiūrų. Šie įkėlimai buvo atlikti iš 39 pažeistų paskyrų, o ankstyviausia veikla buvo užfiksuota 2024 m. gruodžio 22 d. Nors „Google“ nuo to laiko pašalino didžiąją dalį turinio, iki pašalinimo pasiektas pasiekiamumas pabrėžia platinimo metodo efektyvumą.
Išplėstinis naudingojo krovinio pristatymas per „Kidkadi“
Vienas pastebėtas „GachiLoader“ variantas įdiegia antrinį kenkėjiškos programos komponentą, vadinamą „Kidkadi“, kuris įdiegia netradicinį nešiojamojo vykdomojo failo (PE) įterpimo metodą. Užuot tiesiogiai įkėlus kenkėjišką dvejetainį failą, ši technika iš pradžių įkelia teisėtą DLL failą, o tada išnaudoja „Vectored Exception Handling“ (VEH), kad vykdymo metu dinamiškai jį pakeistų kenkėjiška informacija. Šis momentinis pakeitimas leidžia kenkėjiškai programai įsilieti į teisėtus procesus.
Daugiafunkcinis naudingasis krovinys ir slaptos operacijos
Be „Kidkadi“, „GachiLoader“ taip pat buvo užfiksuota pristatant informacijos vagystę „Rhadamanthys“, įrodančią jos lankstumą kaip kenkėjiškų programų pristatymo platformos. Kaip ir kiti šiuolaikiniai įkėlimo įrankiai, jis sukurtas taip, kad surinktų ir dislokuotų papildomus naudinguosius duomenis, tuo pačiu metu atliekant išsamius antianalizės ir vengimo patikrinimus, siekiant apsunkinti aptikimą ir teismo ekspertizę.
Privilegijų eskalavimas naudojant socialinę inžineriją
Įkrovimo programa patikrina, ar ji veikia su administratoriaus teisėmis, paleisdama komandą „net session“. Jei šis testas nepavyksta, ji bando paleisti save iš naujo su padidintomis teisėmis, todėl atidaromas vartotojo abonemento valdymo (UAC) dialogo langas. Kadangi kenkėjiška programa dažnai yra įterpta į netikrus diegimo paketus, kurie apsimeta populiaria programine įranga, panašiai kaip anksčiau buvo naudojama su „CountLoader“, aukos greičiausiai patvirtins užklausą, nesąmoningai suteikdamos padidintas teises.
„Microsoft Defender“ neutralizavimas
Paskutiniame vykdymo etape „GachiLoader“ aktyviai bando susilpninti integruotas apsaugos priemones. Jis nukreipia ir nutraukia „SecHealthUI.exe“ – procesą, susietą su „Microsoft Defender“, – tada sukonfigūruoja išskyrimo taisykles, kad būtų išvengta konkrečių katalogų, pvz., vartotojų aplankų, „ProgramData“ ir „Windows“ sistemos kelių, nuskaitymo. Tai užtikrina, kad jokie paruošti ar atsisiųsti naudingieji duomenys liktų neaptikti.
Galutinis naudingosios apkrovos vykdymo kelias
Kai apsauga nuslopinama, „GachiLoader“ arba nuskaito galutinę kenkėjišką programą tiesiai iš nuotolinio serverio, arba iškviečia pagalbinę įkrovos programą, vadinamą kidkadi.node. Šis komponentas vėl piktnaudžiauja „Vectored Exception Handling“, kad įkeltų pagrindinę kenkėjišką informaciją, išlaikydamas nuoseklumą su į slaptą veikimą orientuota įkrovos programos konstrukcija.
Išvados gynėjams ir tyrėjams
„GachiLoader“ kūrėjas puikiai išmano „Windows“ vidinius mechanizmus ir sėkmingai išplėtojo žinomą injekcijos techniką į labiau išvengiamą variantą. Šis patobulinimas dar kartą patvirtina, kad kenkėjiškų programų analitikams svarbu nuolat stebėti PE injekcijos metodų ir įkroviklių pagrindu sukurtų architektūrų pažangą, nes grėsmių kūrėjai nuolat tobulina savo taktiką, kad apeitų šiuolaikines saugumo kontrolės priemones.
