GachiLoader ļaunprogrammatūra
Drošības pētnieki ir atklājuši nesen identificētu uz JavaScript balstītu ļaunprogrammatūras ielādētāju, kas pazīstams kā GachiLoader, kas izstrādāts, izmantojot Node.js, un aizsargāts ar spēcīgu obfuskāciju. Šī ļaunprogrammatūra tiek aktīvi izplatīta, izmantojot tā saukto YouTube Ghost Network — nolaupītu YouTube kontu kolekciju, kas tiek izmantota, lai izplatītu ļaunprātīgu saturu neko nenojaušošiem lietotājiem.
Satura rādītājs
YouTube ļaunprātīga izmantošana ļaunprogrammatūras izplatīšanai
Kampaņa izmanto kompromitētus satura veidotāju kontus, lai augšupielādētu ieroču veidā veidotus videoklipus, kas novirza skatītājus uz ar ļaunprogrammatūru saistītām lejupielādēm. Ir identificēti aptuveni 100 ar šo operāciju saistīti videoklipi, kas kopumā ir ieguvuši aptuveni 220 000 skatījumu. Šie augšupielādējumi tika veikti no 39 uzlauztiem kontiem, un agrākā aktivitāte tika reģistrēta 2024. gada 22. decembrī. Lai gan Google kopš tā laika ir noņēmis lielāko daļu satura, pirms noņemšanas sasniegtais sasniedzamības līmenis uzsver izplatīšanas metodes efektivitāti.
Paplašināta kravas piegāde, izmantojot Kidkadi
Viens novērotais GachiLoader variants izmanto sekundāru ļaunprogrammatūras komponentu ar nosaukumu Kidkadi, kas ievieš netradicionālu pārnēsājama izpildāmā faila (PE) injekcijas pieeju. Tā vietā, lai tieši ielādētu ļaunprātīgu bināro failu, šī metode sākotnēji ielādē likumīgu DLL failu un pēc tam izmanto vektorētu izņēmumu apstrādi (VEH), lai izpildes laikā to dinamiski aizstātu ar ļaunprātīgu vērtumu. Šī notiekošā aizstāšana ļauj ļaunprogrammatūrai iekļauties likumīgos procesos.
Vairāku lietderīgo kravu pārvadāšanas iespējas un slepenas darbības
Papildus Kidkadi, ir dokumentēts arī GachiLoader, kas piegādā Rhadamanthys informācijas zagli, demonstrējot tā elastību kā ļaunprogrammatūras piegādes platforma. Tāpat kā citi mūsdienu ielādētāji, tas ir izstrādāts, lai ielādētu un izvietotu papildu vērtumus, vienlaikus veicot plašas antianalīzes un apiešanas pārbaudes, lai kavētu atklāšanu un kriminālistisko izmeklēšanu.
Privilēģiju eskalācija, izmantojot sociālo inženieriju
Ielādētājs pārbauda, vai tas darbojas ar administratora privilēģijām, palaižot komandu “net session”. Ja šī pārbaude neizdodas, tas mēģina sevi restartēt ar paaugstinātām tiesībām, kā rezultātā tiek atvērts lietotāja konta kontroles (UAC) dialoglodziņš. Tā kā ļaunprogrammatūra parasti ir iestrādāta viltotos instalētājos, kas izliekas par populāru programmatūru, līdzīgi kā iepriekš ar CountLoader izmantotās metodes, upuri, visticamāk, apstiprinās pieprasījumu, neapzināti piešķirot paaugstinātas tiesības.
Microsoft Defender neitralizēšana
Pēdējā izpildes posmā GachiLoader aktīvi mēģina vājināt iebūvētās drošības aizsardzības. Tas mērķē uz SecHealthUI.exe, procesu, kas saistīts ar Microsoft Defender, un pārtrauc tā darbību, un pēc tam konfigurē izslēgšanas noteikumus, lai novērstu noteiktu direktoriju, piemēram, lietotāju mapju, ProgramData un Windows sistēmas ceļu, skenēšanu. Tas nodrošina, ka jebkura sagatavota vai lejupielādēta slodze paliek neatklāta.
Galīgā lietderīgās slodzes izpildes ceļš
Kad aizsardzība ir nomākta, GachiLoader vai nu izgūst pēdējo ļaunprogrammatūru tieši no attālā servera, vai arī izsauc palīgielādētāju ar nosaukumu kidkadi.node. Šis komponents atkal ļaunprātīgi izmanto vektorētu izņēmumu apstrādi, lai ielādētu primāro ļaunprogrammatūras saturu, saglabājot atbilstību ielādētāja uz slepenību vērstajam dizainam.
Ietekme uz aizstāvjiem un pētniekiem
GachiLoader izstrādātājs demonstrē dziļu izpratni par Windows iekšējo darbību un ir veiksmīgi attīstījis zināmu injekcijas metodi par izvairīgāku variantu. Šī attīstība vēl vairāk uzsver, cik svarīgi ir, lai aizstāvji un ļaunprogrammatūras analītiķi nepārtraukti sekotu PE injekcijas metožu un ielādes arhitektūru attīstībai, jo apdraudējumu dalībnieki pastāvīgi pilnveido savu taktiku, lai apietu mūsdienu drošības kontroles.
