GachiLoader ਮਾਲਵੇਅਰ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੇਂ ਪਛਾਣੇ ਗਏ JavaScript-ਅਧਾਰਿਤ ਮਾਲਵੇਅਰ ਲੋਡਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸਨੂੰ GachiLoader ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ Node.js ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਭਾਰੀ ਗੁੰਝਲਦਾਰਤਾ ਦੁਆਰਾ ਸੁਰੱਖਿਅਤ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਸਰਗਰਮੀ ਨਾਲ YouTube Ghost Network ਦੁਆਰਾ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਹਾਈਜੈਕ ਕੀਤੇ YouTube ਖਾਤਿਆਂ ਦਾ ਇੱਕ ਸੰਗ੍ਰਹਿ ਹੈ ਜੋ ਅਣਜਾਣ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਵੰਡਣ ਲਈ ਦੁਬਾਰਾ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਮਾਲਵੇਅਰ ਵੰਡ ਲਈ YouTube ਦੀ ਦੁਰਵਰਤੋਂ

ਇਹ ਮੁਹਿੰਮ ਹਥਿਆਰਬੰਦ ਵੀਡੀਓ ਅਪਲੋਡ ਕਰਨ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਰਜਣਹਾਰ ਖਾਤਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ ਜੋ ਦਰਸ਼ਕਾਂ ਨੂੰ ਮਾਲਵੇਅਰ-ਲੇਸਡ ਡਾਊਨਲੋਡਸ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦੇ ਹਨ। ਇਸ ਕਾਰਵਾਈ ਨਾਲ ਜੁੜੇ ਲਗਭਗ 100 ਵੀਡੀਓਜ਼ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ ਲਗਭਗ 220,000 ਵਿਊਜ਼ ਮਿਲੇ ਹਨ। ਇਹ ਅਪਲੋਡ 39 ਉਲੰਘਣਾ ਕੀਤੇ ਖਾਤਿਆਂ ਤੋਂ ਆਏ ਸਨ, ਜਿਨ੍ਹਾਂ ਦੀ ਸਭ ਤੋਂ ਪਹਿਲੀ ਗਤੀਵਿਧੀ 22 ਦਸੰਬਰ, 2024 ਨੂੰ ਹੋਈ ਸੀ। ਜਦੋਂ ਕਿ ਗੂਗਲ ਨੇ ਉਦੋਂ ਤੋਂ ਜ਼ਿਆਦਾਤਰ ਸਮੱਗਰੀ ਨੂੰ ਹਟਾ ਦਿੱਤਾ ਹੈ, ਟੇਕਡਾਊਨ ਤੋਂ ਪਹਿਲਾਂ ਪ੍ਰਾਪਤ ਕੀਤੀ ਪਹੁੰਚ ਵੰਡ ਵਿਧੀ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

ਕਿਡਕਾਡੀ ਰਾਹੀਂ ਐਡਵਾਂਸਡ ਪੇਲੋਡ ਡਿਲੀਵਰੀ

GachiLoader ਦਾ ਇੱਕ ਦੇਖਿਆ ਗਿਆ ਰੂਪ Kidkadi ਨਾਮਕ ਇੱਕ ਸੈਕੰਡਰੀ ਮਾਲਵੇਅਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਜੋ ਇੱਕ ਅਸਾਧਾਰਨ ਪੋਰਟੇਬਲ ਐਗਜ਼ੀਕਿਊਟੇਬਲ (PE) ਇੰਜੈਕਸ਼ਨ ਪਹੁੰਚ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਇੱਕ ਖਤਰਨਾਕ ਬਾਈਨਰੀ ਨੂੰ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਲੋਡ ਕਰਨ ਦੀ ਬਜਾਏ, ਤਕਨੀਕ ਸ਼ੁਰੂ ਵਿੱਚ ਇੱਕ ਜਾਇਜ਼ DLL ਲੋਡ ਕਰਦੀ ਹੈ ਅਤੇ ਫਿਰ ਰਨਟਾਈਮ ਦੌਰਾਨ ਇਸਨੂੰ ਇੱਕ ਖਤਰਨਾਕ ਪੇਲੋਡ ਨਾਲ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਬਦਲਣ ਲਈ ਵੈਕਟਰਡ ਐਕਸੈਪਸ਼ਨ ਹੈਂਡਲਿੰਗ (VEH) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ। ਇਹ ਆਨ-ਦ-ਫਲਾਈ ਸਬਸਟੀਚਿਊਸ਼ਨ ਮਾਲਵੇਅਰ ਨੂੰ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨਾਲ ਮਿਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਮਲਟੀ-ਪੇਲੋਡ ਸਮਰੱਥਾ ਅਤੇ ਸਟੀਲਥ ਓਪਰੇਸ਼ਨ

ਕਿਡਕਾਡੀ ਤੋਂ ਇਲਾਵਾ, ਗਾਚੀਲੋਡਰ ਨੂੰ ਰੈਡਾਮੈਂਥਿਸ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਵੀ ਦਸਤਾਵੇਜ਼ੀ ਤੌਰ 'ਤੇ ਦਸਤਾਵੇਜ਼ੀ ਤੌਰ 'ਤੇ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਪਲੇਟਫਾਰਮ ਵਜੋਂ ਇਸਦੀ ਲਚਕਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। ਹੋਰ ਆਧੁਨਿਕ ਲੋਡਰਾਂ ਵਾਂਗ, ਇਸਨੂੰ ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਤੈਨਾਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜਦੋਂ ਕਿ ਇੱਕੋ ਸਮੇਂ ਖੋਜ ਅਤੇ ਫੋਰੈਂਸਿਕ ਜਾਂਚ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ ਲਈ ਵਿਆਪਕ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਚੋਰੀ ਜਾਂਚਾਂ ਕਰਦੇ ਹਨ।

ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਰਾਹੀਂ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਵਿੱਚ ਵਾਧਾ

ਲੋਡਰ ਨੈੱਟ ਸੈਸ਼ਨ ਕਮਾਂਡ ਚਲਾ ਕੇ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਇਹ ਪ੍ਰਬੰਧਕੀ ਅਧਿਕਾਰਾਂ ਨਾਲ ਚੱਲ ਰਿਹਾ ਹੈ। ਜੇਕਰ ਇਹ ਟੈਸਟ ਅਸਫਲ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ ਉੱਚੇ ਅਧਿਕਾਰਾਂ ਨਾਲ ਦੁਬਾਰਾ ਲਾਂਚ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇੱਕ ਉਪਭੋਗਤਾ ਖਾਤਾ ਨਿਯੰਤਰਣ (UAC) ਡਾਇਲਾਗ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ। ਕਿਉਂਕਿ ਮਾਲਵੇਅਰ ਆਮ ਤੌਰ 'ਤੇ ਨਕਲੀ ਇੰਸਟਾਲਰਾਂ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਪ੍ਰਸਿੱਧ ਸੌਫਟਵੇਅਰ ਵਜੋਂ ਪੇਸ਼ ਹੁੰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਕਾਉਂਟਲੋਡਰ ਨਾਲ ਪਹਿਲਾਂ ਵੇਖੀਆਂ ਗਈਆਂ ਤਕਨੀਕਾਂ, ਪੀੜਤਾਂ ਦੁਆਰਾ ਬੇਨਤੀ ਨੂੰ ਮਨਜ਼ੂਰੀ ਦੇਣ ਦੀ ਸੰਭਾਵਨਾ ਹੁੰਦੀ ਹੈ, ਅਣਜਾਣੇ ਵਿੱਚ ਉੱਚੇ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।

ਮਾਈਕ੍ਰੋਸਾਫਟ ਡਿਫੈਂਡਰ ਨੂੰ ਬੇਅਸਰ ਕਰਨਾ

ਆਪਣੇ ਅੰਤਿਮ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪੜਾਅ ਵਿੱਚ, GachiLoader ਸਰਗਰਮੀ ਨਾਲ ਬਿਲਟ-ਇਨ ਸੁਰੱਖਿਆ ਰੱਖਿਆ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਇਹ SecHealthUI.exe ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਖਤਮ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ Microsoft Defender ਨਾਲ ਜੁੜੀ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਹੈ, ਅਤੇ ਫਿਰ ਉਪਭੋਗਤਾ ਫੋਲਡਰਾਂ, ਪ੍ਰੋਗਰਾਮਡਾਟਾ ਅਤੇ ਵਿੰਡੋਜ਼ ਸਿਸਟਮ ਮਾਰਗਾਂ ਵਰਗੀਆਂ ਖਾਸ ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਸਕੈਨਿੰਗ ਨੂੰ ਰੋਕਣ ਲਈ ਬਾਹਰ ਕੱਢਣ ਦੇ ਨਿਯਮਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਦਾ ਹੈ। ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਕੋਈ ਵੀ ਪੜਾਅਵਾਰ ਜਾਂ ਡਾਊਨਲੋਡ ਕੀਤੇ ਪੇਲੋਡ ਅਣਪਛਾਤੇ ਰਹਿਣ।

ਅੰਤਿਮ ਪੇਲੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਮਾਰਗ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਬਚਾਅ ਕਾਰਜਾਂ ਨੂੰ ਦਬਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ GachiLoader ਜਾਂ ਤਾਂ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਅੰਤਿਮ ਮਾਲਵੇਅਰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਜਾਂ kidkadi.node ਨਾਮਕ ਇੱਕ ਸਹਾਇਕ ਲੋਡਰ ਨੂੰ ਬੁਲਾਉਂਦਾ ਹੈ। ਇਹ ਕੰਪੋਨੈਂਟ ਦੁਬਾਰਾ ਪ੍ਰਾਇਮਰੀ ਖਤਰਨਾਕ ਪੇਲੋਡ ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਵੈਕਟਰਡ ਐਕਸੈਪਸ਼ਨ ਹੈਂਡਲਿੰਗ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਲੋਡਰ ਦੇ ਸਟੀਲਥ-ਫੋਕਸਡ ਡਿਜ਼ਾਈਨ ਨਾਲ ਇਕਸਾਰਤਾ ਬਣਾਈ ਰੱਖਦਾ ਹੈ।

ਬਚਾਅ ਕਰਨ ਵਾਲਿਆਂ ਅਤੇ ਖੋਜਕਰਤਾਵਾਂ ਲਈ ਪ੍ਰਭਾਵ

GachiLoader ਦੇ ਪਿੱਛੇ ਅਦਾਕਾਰ ਵਿੰਡੋਜ਼ ਇੰਟਰਨਲ ਦੀ ਡੂੰਘੀ ਸਮਝ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਜਾਣੀ-ਪਛਾਣੀ ਇੰਜੈਕਸ਼ਨ ਤਕਨੀਕ ਨੂੰ ਇੱਕ ਹੋਰ ਟਾਲ-ਮਟੋਲ ਵਾਲੇ ਰੂਪ ਵਿੱਚ ਸਫਲਤਾਪੂਰਵਕ ਵਿਕਸਤ ਕੀਤਾ ਹੈ। ਇਹ ਵਿਕਾਸ ਡਿਫੈਂਡਰਾਂ ਅਤੇ ਮਾਲਵੇਅਰ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਲਈ PE ਇੰਜੈਕਸ਼ਨ ਵਿਧੀਆਂ ਅਤੇ ਲੋਡਰ-ਅਧਾਰਿਤ ਆਰਕੀਟੈਕਚਰ ਵਿੱਚ ਤਰੱਕੀ ਨੂੰ ਲਗਾਤਾਰ ਟਰੈਕ ਕਰਨ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦਾ ਹੈ, ਕਿਉਂਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਆਧੁਨਿਕ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਆਪਣੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਸੁਧਾਰਦੇ ਰਹਿੰਦੇ ਹਨ।