Вредоносная программа GachiLoader
Исследователи в области безопасности обнаружили новый вредоносный загрузчик на основе JavaScript, известный как GachiLoader, разработанный с использованием Node.js и защищенный с помощью надежной обфускации. Этот вредоносный код активно распространяется через так называемую «сеть призраков YouTube» — сеть взломанных аккаунтов YouTube, перепрофилированных для распространения вредоносного контента ничего не подозревающим пользователям.
Оглавление
Злоупотребление YouTube для распространения вредоносного ПО.
В рамках этой кампании используются взломанные аккаунты создателей контента для загрузки вредоносных видеороликов, которые перенаправляют зрителей на загрузки, содержащие вредоносное ПО. Было выявлено около 100 видеороликов, связанных с этой операцией, которые в совокупности набрали около 220 000 просмотров. Эти загрузки были осуществлены с 39 взломанных аккаунтов, причем самая ранняя активность датируется 22 декабря 2024 года. Хотя Google с тех пор удалил большую часть контента, достигнутый охват до удаления подчеркивает эффективность метода распространения.
Усовершенствованная доставка полезной нагрузки через Kidkadi
Один из обнаруженных вариантов GachiLoader использует дополнительный компонент вредоносного ПО под названием Kidkadi, который применяет нетрадиционный подход к внедрению исполняемых файлов (PE). Вместо прямой загрузки вредоносного бинарного файла, этот метод сначала загружает легитимную DLL-библиотеку, а затем использует векторную обработку исключений (VEH) для динамической замены её вредоносной полезной нагрузкой во время выполнения. Эта замена «на лету» позволяет вредоносному ПО сливаться с легитимными процессами.
Возможность работы с несколькими полезными нагрузками и скрытные операции.
Помимо Kidkadi, GachiLoader также, как известно, распространяет вредоносную программу Rhadamanthys, демонстрируя свою гибкость в качестве платформы для доставки вредоносного ПО. Как и другие современные загрузчики, он предназначен для загрузки и развертывания дополнительных полезных нагрузок, одновременно выполняя обширные проверки на противодействие анализу и обходные проверки, чтобы затруднить обнаружение и криминалистическое расследование.
Повышение привилегий посредством социальной инженерии
Загрузчик проверяет, выполняется ли он с правами администратора, запуская команду net session. Если эта проверка не пройдена, он пытается перезапустить себя с повышенными правами, что приводит к появлению диалогового окна контроля учетных записей пользователей (UAC). Поскольку вредоносное ПО часто внедряется в поддельные установщики, маскирующиеся под популярное программное обеспечение, аналогично методам, ранее использовавшимся в случае с CountLoader, жертвы, скорее всего, одобрят запрос, неосознанно предоставляя себе расширенный доступ.
Нейтрализация Microsoft Defender
На заключительном этапе выполнения GachiLoader активно пытается ослабить встроенные средства защиты. Он нацеливается на процесс SecHealthUI.exe, связанный с Microsoft Defender, и завершает его работу, после чего настраивает правила исключения, чтобы предотвратить сканирование определенных каталогов, таких как папки пользователей, ProgramData и системные пути Windows. Это гарантирует, что любые подготовленные или загруженные полезные нагрузки останутся незамеченными.
Путь выполнения конечной полезной нагрузки
После подавления защиты GachiLoader либо получает окончательный вредоносный код непосредственно с удаленного сервера, либо вызывает вспомогательный загрузчик под названием kidkadi.node. Этот компонент снова использует векторизованную обработку исключений для загрузки основного вредоносного кода, поддерживая тем самым согласованность с ориентированной на скрытность архитектурой загрузчика.
Последствия для защитников и исследователей
Злоумышленник, стоящий за GachiLoader, демонстрирует глубокое понимание внутренних механизмов Windows и успешно усовершенствовал известную технику внедрения вредоносного ПО, превратив её в более коварный вариант. Это событие подчёркивает важность постоянного отслеживания прогресса в методах внедрения PE-пакетов и архитектурах на основе загрузчиков для специалистов по кибербезопасности и аналитиков вредоносного ПО, поскольку злоумышленники постоянно совершенствуют свою тактику, чтобы обходить современные средства защиты.
