GachiLoader-skadevare
Sikkerhetsforskere har avdekket en nylig identifisert JavaScript-basert skadevarelaster kjent som GachiLoader, utviklet med Node.js og beskyttet av tung obfuskasjon. Denne skadevaren spres aktivt gjennom det såkalte YouTube Ghost Network, en samling kaprede YouTube-kontoer som er omgjort til å distribuere skadelig innhold til intetanende brukere.
Innholdsfortegnelse
Misbruk av YouTube for distribusjon av skadelig programvare
Kampanjen utnytter kompromitterte kontoer for å laste opp våpenbelagte videoer som omdirigerer seere til nedlastinger med skadelig programvare. Omtrent 100 videoer knyttet til denne operasjonen er identifisert, og til sammen har de rundt 220 000 visninger. Disse opplastingene stammer fra 39 kontoer med hacking, med den tidligste aktiviteten sporet tilbake til 22. desember 2024. Selv om Google siden har fjernet mesteparten av innholdet, understreker rekkevidden som ble oppnådd før fjerningen effektiviteten av distribusjonsmetoden.
Avansert nyttelastlevering via Kidkadi
En observert variant av GachiLoader bruker en sekundær skadelig programvarekomponent kalt Kidkadi, som introduserer en ukonvensjonell Portable Executable (PE) injeksjonsmetode. I stedet for å laste inn en skadelig binærfil direkte, laster teknikken først en legitim DLL og utnytter deretter Vectored Exception Handling (VEH) for å dynamisk erstatte den med en skadelig nyttelast under kjøretid. Denne substitusjonen underveis lar skadevaren blande seg inn med legitime prosesser.
Flernyttelastkapasitet og skjulte operasjoner
I tillegg til Kidkadi har GachiLoader også blitt dokumentert leverende Rhadamanthys-informasjonsstyveren, noe som demonstrerer dens fleksibilitet som en plattform for levering av skadelig programvare. I likhet med andre moderne lastere er den designet for å hente og distribuere ytterligere nyttelaster samtidig som den utfører omfattende antianalyse- og unnvikelseskontroller for å hindre deteksjon og rettsmedisinsk etterforskning.
Opptrapping av privilegier gjennom sosial manipulering
Lasteren sjekker om den kjører med administratorrettigheter ved å kjøre kommandoen net session. Hvis denne testen mislykkes, prøver den å starte seg selv på nytt med utvidede rettigheter, noe som fører til en dialogboks for brukerkontokontroll (UAC). Fordi skadevaren ofte er innebygd i falske installasjonsprogrammer som utgir seg for å være populær programvare, i likhet med teknikker som tidligere er sett med CountLoader, er det sannsynlig at ofrene godkjenner forespørselen og uvitende gir utvidet tilgang.
Nøytralisering av Microsoft Defender
I den siste utførelsesfasen forsøker GachiLoader aktivt å svekke innebygde sikkerhetsforsvar. Den retter seg mot og avslutter SecHealthUI.exe, en prosess koblet til Microsoft Defender, og konfigurerer deretter ekskluderingsregler for å forhindre skanning av bestemte mapper som brukermapper, ProgramData og Windows-systembaner. Dette sikrer at eventuelle trinnvise eller nedlastede nyttelaster forblir uoppdaget.
Endelig nyttelastutførelsesbane
Når forsvaret er undertrykt, henter GachiLoader enten den endelige skadelige programvaren direkte fra en ekstern server eller aktiverer en hjelpelaster kalt kidkadi.node. Denne komponenten misbruker igjen Vectored Exception Handling for å laste den primære skadelige nyttelasten, og opprettholder dermed konsistens med lasterens stealth-fokuserte design.
Implikasjoner for forsvarere og forskere
Aktøren bak GachiLoader demonstrerer en dyp forståelse av Windows interne funksjoner og har med hell utviklet en kjent injeksjonsteknikk til en mer unnvikende variant. Denne utviklingen forsterker viktigheten av at forsvarere og skadevareanalytikere kontinuerlig sporer fremskritt innen PE-injeksjonsmetoder og lasterbaserte arkitekturer, ettersom trusselaktører stadig forbedrer taktikkene sine for å omgå moderne sikkerhetskontroller.
