Zlonamerna programska oprema GachiLoader
Varnostni raziskovalci so odkrili na novo identificiran nalagalnik zlonamerne programske opreme, ki temelji na JavaScriptu in je znan kot GachiLoader, razvit z uporabo Node.js in zaščiten z močnim zakrivanjem. Ta zlonamerna programska oprema se aktivno širi prek tako imenovanega omrežja YouTube Ghost Network, zbirke ugrabljenih YouTube računov, ki so namenjeni distribuciji zlonamerne vsebine nič hudega slutečim uporabnikom.
Kazalo
Zloraba YouTuba za distribucijo zlonamerne programske opreme
Kampanja izkorišča ogrožene ustvarjalne račune za nalaganje videoposnetkov, ki gledalce preusmerjajo na prenose, polne zlonamerne programske opreme. Identificiranih je bilo približno 100 videoposnetkov, povezanih s to operacijo, ki so skupaj pritegnili približno 220.000 ogledov. Ti nalaganja izvirajo iz 39 vlomljenih računov, najzgodnejša aktivnost pa sega v 22. december 2024. Čeprav je Google od takrat odstranil večino vsebine, doseg, dosežen pred odstranitvijo, poudarja učinkovitost metode distribucije.
Napredna dostava koristnega tovora prek Kidkadija
Ena od opaženih različic GachiLoaderja uporablja sekundarno komponento zlonamerne programske opreme z imenom Kidkadi, ki uvaja nekonvencionalen pristop vbrizgavanja prenosljivih izvedljivih datotek (PE). Namesto neposrednega nalaganja zlonamerne binarne datoteke tehnika najprej naloži legitimno DLL in nato z uporabo vektorskega obravnavanja izjem (VEH) dinamično nadomesti z zlonamerno koristno vsebino med izvajanjem. Ta zamenjava med delovanjem omogoča zlonamerni programski opremi, da se zlije z legitimnimi procesi.
Zmogljivost večtovornega tovora in prikrite operacije
Poleg Kidkadija je bil dokumentiran tudi GachiLoader, ki je dostavljal program za krajo informacij Rhadamanthys, kar dokazuje njegovo prilagodljivost kot platforma za dostavo zlonamerne programske opreme. Tako kot drugi sodobni nalagalniki je zasnovan za pridobivanje in nameščanje dodatnih koristnih tovorov, hkrati pa izvaja obsežne antianalize in preverjanja izogibanja, da bi oviral odkrivanje in forenzično preiskavo.
Eskalacija privilegijev s socialnim inženiringom
Nalagalnik preveri, ali se izvaja s skrbniškimi pravicami, tako da zažene ukaz net session. Če ta preizkus ne uspe, se poskuša znova zagnati s povišanimi pravicami, kar sproži pogovorno okno Nadzor uporabniškega računa (UAC). Ker je zlonamerna programska oprema pogosto vgrajena v lažne namestitvene programe, ki se izdajajo za priljubljeno programsko opremo, podobno kot tehnike, ki smo jih prej videli pri CountLoaderju, bodo žrtve verjetno odobrile zahtevo in nevede odobrile povišane pravice dostopa.
Nevtralizacija programa Microsoft Defender
V zadnji fazi izvajanja GachiLoader aktivno poskuša oslabiti vgrajene varnostne mehanizme. Cilja in prekine SecHealthUI.exe, proces, povezan z Microsoft Defenderjem, nato pa konfigurira pravila izključitev, da prepreči skeniranje določenih imenikov, kot so uporabniške mape, ProgramData in sistemske poti sistema Windows. To zagotavlja, da morebitni preneseni ali vmesno nameščeni koristni tovori ostanejo nezaznani.
Končna pot izvajanja koristnega tovora
Ko so obrambni mehanizmi zatrti, GachiLoader bodisi pridobi končno zlonamerno programsko opremo neposredno z oddaljenega strežnika bodisi pokliče pomožni nalagalnik, imenovan kidkadi.node. Ta komponenta ponovno zlorablja obdelavo vektorskih izjem za nalaganje primarnega zlonamernega koristnega tovora, s čimer ohranja skladnost z zasnovo nalagalnika, osredotočeno na prikritost.
Posledice za zagovornike in raziskovalce
Igralec, ki stoji za GachiLoaderjem, dokazuje poglobljeno razumevanje notranjosti sistema Windows in je uspešno razvil znano tehniko vbrizgavanja v bolj izmikajočo se različico. Ta razvoj poudarja pomen nenehnega spremljanja napredka metod vbrizgavanja PE in arhitektur, ki temeljijo na nalagalnikih, za branilce in analitike zlonamerne programske opreme, saj akterji grožnje vztrajno izpopolnjujejo svoje taktike, da bi zaobšli sodobne varnostne kontrole.
