Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe GachiLoader

Oprogramowanie złośliwe GachiLoader

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Badacze bezpieczeństwa odkryli nowy program do ładowania złośliwego oprogramowania oparty na JavaScript, znany jako GachiLoader, opracowany w Node.js i chroniony przez zaawansowane zaciemnianie kodu. To złośliwe oprogramowanie jest aktywnie rozprzestrzeniane za pośrednictwem tzw. YouTube Ghost Network, czyli zbioru przejętych kont YouTube, wykorzystywanych do dystrybucji złośliwych treści do niczego niepodejrzewających użytkowników.

Nadużywanie YouTube’a do dystrybucji złośliwego oprogramowania

Kampania wykorzystuje przejęte konta twórców do przesyłania uzbrojonych filmów, które przekierowują widzów do pobierania plików zawierających złośliwe oprogramowanie. Zidentyfikowano około 100 filmów powiązanych z tą operacją, które łącznie osiągnęły około 220 000 wyświetleń. Filmy te pochodziły z 39 przejętych kont, a najwcześniejsza aktywność miała miejsce 22 grudnia 2024 roku. Chociaż Google usunął już większość treści, zasięg osiągnięty przed usunięciem podkreśla skuteczność tej metody dystrybucji.

Zaawansowane dostarczanie ładunków za pośrednictwem Kidkadi

Jeden z zaobserwowanych wariantów GachiLoadera wdraża dodatkowy komponent złośliwego oprogramowania o nazwie Kidkadi, który wprowadza niekonwencjonalną metodę wstrzykiwania Portable Executable (PE). Zamiast bezpośrednio ładować złośliwy plik binarny, technika ta najpierw ładuje legalną bibliotekę DLL, a następnie wykorzystuje mechanizm Vectored Exception Handling (VEH), aby dynamicznie zastąpić ją złośliwym ładunkiem w trakcie działania. Ta bieżąca podmiana pozwala złośliwemu oprogramowaniu wtopić się w legalne procesy.

Możliwość obsługi wielu ładunków i operacji stealth

Oprócz Kidkadi, GachiLoader został również udokumentowany jako platforma do dystrybucji złośliwego oprogramowania, dostarczając program do kradzieży informacji Rhadamanthys. Podobnie jak inne nowoczesne programy do ładowania, został on zaprojektowany do pobierania i wdrażania dodatkowych ładunków, jednocześnie przeprowadzając rozbudowane testy anty-analizy i unikania ataków, aby utrudnić wykrywanie i dochodzenie kryminalistyczne.

Eskalacja uprawnień poprzez inżynierię społeczną

Program ładujący sprawdza, czy działa z uprawnieniami administratora, uruchamiając polecenie „net session”. Jeśli ten test się nie powiedzie, próbuje ponownie uruchomić się z podwyższonymi uprawnieniami, wyświetlając okno dialogowe Kontroli konta użytkownika (UAC). Ponieważ złośliwe oprogramowanie jest często osadzone w fałszywych instalatorach podszywających się pod popularne oprogramowanie, podobnie jak w przypadku CountLoadera, ofiary prawdopodobnie zatwierdzą żądanie, nieświadomie udzielając podwyższonych uprawnień.

Neutralizacja programu Microsoft Defender

W końcowej fazie działania GachiLoader aktywnie próbuje osłabić wbudowane mechanizmy bezpieczeństwa. Namierza i kończy działanie procesu SecHealthUI.exe, powiązanego z programem Microsoft Defender, a następnie konfiguruje reguły wykluczeń, aby uniemożliwić skanowanie określonych katalogów, takich jak foldery użytkownika, ProgramData i ścieżki systemowe Windows. Gwarantuje to, że wszelkie przygotowane lub pobrane ładunki pozostaną niewykryte.

Ostateczna ścieżka wykonania ładunku

Po wyłączeniu mechanizmów obronnych, GachiLoader albo pobiera ostateczne złośliwe oprogramowanie bezpośrednio ze zdalnego serwera, albo wywołuje pomocniczy moduł ładujący o nazwie kidkadi.node. Ten komponent ponownie wykorzystuje mechanizm obsługi wyjątków wektorowych do załadowania głównego złośliwego oprogramowania, zachowując spójność z projektem modułu ładującego, zorientowanym na działanie w ukryciu.

Konsekwencje dla obrońców i badaczy

Aktor stojący za GachiLoaderem wykazał się dogłębną znajomością mechanizmów wewnętrznych systemu Windows i z powodzeniem rozwinął znaną technikę wstrzykiwania w bardziej unikalną odmianę. To wydarzenie podkreśla wagę ciągłego śledzenia przez obrońców i analityków złośliwego oprogramowania postępów w metodach wstrzykiwania PE i architekturach opartych na loaderach, ponieważ aktorzy zagrożeń nieustannie udoskonalają swoje taktyki, aby omijać nowoczesne zabezpieczenia.

Popularne

Oszustwo e-mailowe dotyczące zawieszenia konta cPanel

Phishing, Spam
Cyberprzestępcy często nadużywają zaufanych terminów i usług technicznych, aby ich oszustwa wydawały się wiarygodne. Oszustwo e-mailowe z żądaniem zawieszenia konta cPanel jest wyraźnym przykładem tej taktyki, polegającej na użyciu alarmującego języka, aby wymusić na odbiorcach szybkie działanie. Te e-maile są całkowicie fałszywe i nie są powiązane z żadnymi legalnymi firmami, organizacjami ani...

Standardowe oszustwo z wyciągiem z konta bankowego

Phishing, Spam
Ochrona tożsamości cyfrowej wymaga ciągłej czujności, zwłaszcza że cyberprzestępcy wciąż wykorzystują przekonujące wiadomości e-mail. Oszustwo „Standard Bank Account Statement” to doskonały przykład oszustwa mającego na celu nakłonienie odbiorców do przekazania poufnych danych lub otwarcia szkodliwych plików. Wiadomości te nie są powiązane z żadnymi legalnymi firmami, organizacjami ani...

Najczęściej oglądane

Ładowanie...