Programe malware GachiLoader
Cercetătorii în domeniul securității au descoperit un nou program de încărcare a programelor malware bazat pe JavaScript, cunoscut sub numele de GachiLoader, dezvoltat folosind Node.js și protejat printr-o ofuscare puternică. Acest malware se propagă activ prin așa-numita YouTube Ghost Network, o colecție de conturi YouTube deturnate, reutilizate pentru a distribui conținut rău intenționat utilizatorilor neavizați.
Cuprins
Abuzul YouTube pentru distribuirea de programe malware
Campania folosește conturi de creatori compromise pentru a încărca videoclipuri prefabricate care redirecționează spectatorii către descărcări cu programe malware. Au fost identificate aproximativ 100 de videoclipuri legate de această operațiune, atrăgând împreună aproximativ 220.000 de vizualizări. Aceste încărcări provin de la 39 de conturi sparte, cea mai veche activitate fiind urmărită până la 22 decembrie 2024. Deși Google a eliminat de atunci cea mai mare parte a conținutului, acoperirea atinsă înainte de eliminare subliniază eficacitatea metodei de distribuire.
Livrare avansată a încărcăturii utile prin Kidkadi
O variantă observată a GachiLoader implementează o componentă secundară de malware numită Kidkadi, care introduce o abordare neconvențională de injectare Portable Executable (PE). În loc să încarce direct un fișier binar malițios, tehnica încarcă inițial un DLL legitim și apoi exploatează Vectored Exception Handling (VEH) pentru a-l înlocui dinamic cu o utilă malițioasă în timpul execuției. Această substituție din mers permite malware-ului să se amestece cu procesele legitime.
Capacitate multi-payload și operațiuni Stealth
Dincolo de Kidkadi, s-a documentat și utilizarea GachiLoader, o platformă de furt de informații Rhadamanthys, demonstrându-i flexibilitatea ca platformă de livrare a programelor malware. La fel ca alte încărcătoare moderne, este conceput să preia și să implementeze sarcini suplimentare, efectuând simultan verificări extinse anti-analiză și de evitare a atacurilor, pentru a împiedica detectarea și investigațiile criminalistice.
Escaladarea privilegiilor prin inginerie socială
Încărcătorul verifică dacă se execută cu privilegii administrative prin rularea comenzii net session. Dacă acest test eșuează, încearcă să se relanseze cu drepturi sporite, afișând o casetă de dialog Control cont utilizator (UAC). Deoarece malware-ul este de obicei încorporat în programe de instalare false care se prezintă drept software popular, similar tehnicilor observate anterior cu CountLoader, victimele sunt susceptibile să aprobe solicitarea, acordând fără să știe acces sporit.
Neutralizarea Microsoft Defender
În etapa finală de execuție, GachiLoader încearcă în mod activ să slăbească mecanismele de securitate integrate. Acesta vizează și termină SecHealthUI.exe, un proces legat de Microsoft Defender, apoi configurează reguli de excludere pentru a preveni scanarea anumitor directoare, cum ar fi folderele utilizatorilor, ProgramData și căile de sistem Windows. Acest lucru asigură că orice sarcini utile preinstalate sau descărcate rămân nedetectate.
Calea finală de execuție a sarcinii utile
Odată ce apărările sunt suprimate, GachiLoader fie preia malware-ul final direct de pe un server la distanță, fie invocă un încărcător auxiliar numit kidkadi.node. Această componentă abuzează din nou de gestionarea excepțiilor vectoriale pentru a încărca sarcina utilă principală malițioasă, menținând consecvența cu designul axat pe stealth al încărcătorului.
Implicații pentru apărători și cercetători
Actorul din spatele GachiLoader demonstrează o înțelegere profundă a componentelor interne ale Windows și a evoluat cu succes o tehnică de injectare cunoscută într-o variantă mai evazivă. Această dezvoltare întărește importanța pentru apărători și analiștii de programe malware de a urmări continuu progresele în metodele de injectare PE și arhitecturile bazate pe încărcătoare, deoarece actorii amenințători își perfecționează în mod constant tacticile de a ocoli controalele de securitate moderne.
