Malware GachiLoader
Pesquisadores de segurança descobriram um novo carregador de malware baseado em JavaScript, conhecido como GachiLoader, desenvolvido em Node.js e protegido por forte ofuscação. Este malware está sendo ativamente propagado através da chamada Rede Fantasma do YouTube, uma coleção de contas do YouTube sequestradas e reutilizadas para distribuir conteúdo malicioso a usuários desavisados.
Índice
Uso indevido do YouTube para distribuição de malware
A campanha utiliza contas de criadores comprometidas para fazer upload de vídeos maliciosos que redirecionam os espectadores para downloads com malware. Cerca de 100 vídeos relacionados a essa operação foram identificados, acumulando aproximadamente 220.000 visualizações. Esses uploads se originaram de 39 contas comprometidas, com a atividade mais antiga datando de 22 de dezembro de 2024. Embora o Google já tenha removido a maior parte do conteúdo, o alcance obtido antes da remoção demonstra a eficácia do método de distribuição.
Entrega avançada de carga útil via Kidkadi
Uma variante observada do GachiLoader implanta um componente secundário de malware chamado Kidkadi, que introduz uma abordagem não convencional de injeção de executáveis portáteis (PE). Em vez de carregar diretamente um binário malicioso, a técnica carrega inicialmente uma DLL legítima e, em seguida, explora o tratamento de exceções vetorizado (VEH) para substituí-la dinamicamente por uma carga maliciosa durante a execução. Essa substituição em tempo real permite que o malware se misture com processos legítimos.
Capacidade de carga útil múltipla e operações furtivas
Além do Kidkadi, o GachiLoader também foi documentado distribuindo o ladrão de informações Rhadamanthys, demonstrando sua flexibilidade como plataforma de distribuição de malware. Assim como outros loaders modernos, ele foi projetado para buscar e implantar payloads adicionais enquanto realiza simultaneamente extensas verificações de anti-análise e evasão para dificultar a detecção e a investigação forense.
Escalada de privilégios por meio da engenharia social
O carregador verifica se está sendo executado com privilégios administrativos executando o comando `net session`. Se esse teste falhar, ele tenta se reiniciar com privilégios elevados, exibindo uma caixa de diálogo do Controle de Conta de Usuário (UAC). Como o malware geralmente é incorporado em instaladores falsos que se passam por softwares populares, de forma semelhante às técnicas já vistas com o CountLoader, as vítimas provavelmente aprovarão a solicitação, concedendo acesso privilegiado sem saber.
Neutralizando o Microsoft Defender
Em sua fase final de execução, o GachiLoader tenta ativamente enfraquecer as defesas de segurança integradas. Ele visa e encerra o SecHealthUI.exe, um processo vinculado ao Microsoft Defender, e então configura regras de exclusão para impedir a verificação de diretórios específicos, como pastas de usuário, ProgramData e caminhos do sistema Windows. Isso garante que quaisquer payloads armazenados ou baixados permaneçam indetectáveis.
Caminho de Execução da Carga Útil Final
Uma vez suprimidas as defesas, o GachiLoader recupera o malware final diretamente de um servidor remoto ou invoca um carregador auxiliar chamado kidkadi.node. Este componente, por sua vez, utiliza o Tratamento de Exceções Vetorizadas para carregar a carga maliciosa principal, mantendo a consistência com o design do carregador, focado em furtividade.
Implicações para defensores e pesquisadores
O agente por trás do GachiLoader demonstra um profundo conhecimento do funcionamento interno do Windows e conseguiu evoluir uma técnica de injeção conhecida para uma variante mais evasiva. Esse desenvolvimento reforça a importância de que defensores e analistas de malware acompanhem continuamente os avanços nos métodos de injeção de PE e nas arquiteturas baseadas em loaders, visto que os agentes de ameaças refinam persistentemente suas táticas para burlar os controles de segurança modernos.
