GachiLoader Malware
Studiuesit e sigurisë kanë zbuluar një ngarkues të programeve keqdashëse të bazuar në JavaScript, të njohur si GachiLoader, i cili është zhvilluar duke përdorur Node.js dhe është mbrojtur nga një lloj errësire e madhe. Ky program keqdashës përhapet në mënyrë aktive përmes të ashtuquajturit YouTube Ghost Network, një koleksion llogarish të rrëmbyera në YouTube të ripërdorura për të shpërndarë përmbajtje dashakeqe te përdoruesit e pavetëdijshëm.
Tabela e Përmbajtjes
Abuzimi i YouTube për shpërndarjen e programeve keqdashëse
Fushata shfrytëzon llogaritë e krijuesve të kompromentuar për të ngarkuar video të armatosura që i ridrejtojnë shikuesit në shkarkime të mbushura me programe keqdashëse. Janë identifikuar afërsisht 100 video të lidhura me këtë operacion, të cilat së bashku kanë tërhequr rreth 220,000 shikime. Këto ngarkime kanë origjinën nga 39 llogari të shkelura, me aktivitetin më të hershëm që gjurmohet që nga 22 dhjetori 2024. Ndërsa Google që atëherë ka hequr pjesën më të madhe të përmbajtjes, shtrirja e arritur para heqjes nënvizon efektivitetin e metodës së shpërndarjes.
Dorëzim i Avancuar i Ngarkesës nëpërmjet Kidkadi
Një variant i vëzhguar i GachiLoader përdor një komponent dytësor të malware-it të quajtur Kidkadi, i cili prezanton një qasje jokonvencionale të injektimit të Portable Executable (PE). Në vend që të ngarkojë drejtpërdrejt një skedar binar keqdashës, teknika fillimisht ngarkon një DLL legjitim dhe më pas shfrytëzon Vectored Exception Handling (VEH) për ta zëvendësuar atë në mënyrë dinamike me një ngarkesë keqdashëse gjatë kohës së ekzekutimit. Ky zëvendësim i menjëhershëm lejon që malware-i të përzihet me procese legjitime.
Aftësia për shumë ngarkesa dhe operacione të fshehta
Përtej Kidkadi, GachiLoader është dokumentuar gjithashtu duke ofruar vjedhësin e informacionit Rhadamanthys, duke demonstruar fleksibilitetin e tij si një platformë shpërndarjeje të malware. Ashtu si ngarkuesit e tjerë modernë, ai është projektuar për të marrë dhe vendosur ngarkesa shtesë, ndërsa njëkohësisht kryen kontrolle të gjera anti-analize dhe shmangieje për të penguar zbulimin dhe hetimin mjeko-ligjor.
Përshkallëzimi i privilegjeve përmes inxhinierisë sociale
Ngarkuesi kontrollon nëse po ekzekutohet me privilegje administratori duke ekzekutuar komandën net session. Nëse ky test dështon, ai përpiqet të riniset me të drejta të larta, duke shkaktuar një dialog të Kontrollit të Llogarisë së Përdoruesit (UAC). Meqenëse programi keqdashës zakonisht është i integruar në instalues të rremë që paraqiten si softuerë të njohur, ngjashëm me teknikat e para më parë me CountLoader, viktimat ka të ngjarë ta miratojnë kërkesën, duke dhënë pa vetëdije akses të lartë.
Neutralizimi i Microsoft Defender
Në fazën e tij të fundit të ekzekutimit, GachiLoader përpiqet në mënyrë aktive të dobësojë mbrojtjet e integruara të sigurisë. Ai synon dhe ndërpret SecHealthUI.exe, një proces i lidhur me Microsoft Defender, dhe më pas konfiguron rregullat e përjashtimit për të parandaluar skanimin e drejtorive specifike, siç janë dosjet e përdoruesve, ProgramData dhe shtigjet e sistemit Windows. Kjo siguron që çdo ngarkesë e skanuar ose e shkarkuar të mbetet e pazbuluar.
Rruga përfundimtare e ekzekutimit të ngarkesës
Pasi mbrojtjet shtypen, GachiLoader ose e merr malware-in përfundimtar direkt nga një server i largët ose thirr një ngarkues ndihmës të quajtur kidkadi.node. Ky komponent përsëri abuzon me Vectored Exception Handling për të ngarkuar ngarkesën kryesore dashakeqe, duke ruajtur qëndrueshmërinë me dizajnin e fokusuar në fshehtësi të ngarkuesit.
Implikimet për Mbrojtësit dhe Studiuesit
Aktori që qëndron pas GachiLoader demonstron një kuptim të thellë të brendësisë së Windows dhe ka evoluar me sukses një teknikë të njohur injektimi në një variant më të shmangshëm. Ky zhvillim përforcon rëndësinë që mbrojtësit dhe analistët e programeve keqdashëse të ndjekin vazhdimisht përparimet në metodat e injektimit të PE dhe arkitekturat e bazuara në ngarkues, pasi aktorët kërcënues vazhdimisht i përsosin taktikat e tyre për të anashkaluar kontrollet moderne të sigurisë.
