Злонамерни софтвер GachiLoader
Истраживачи безбедности открили су новоидентификовани програм за учитавање злонамерног софтвера заснован на ЈаваСкрипту, познат као GachiLoader, развијен помоћу Node.js-а и заштићен јаким замагљивањем. Овај злонамерни софтвер се активно шири путем такозване YouTube Ghost Network, колекције отетих YouTube налога који се користе за дистрибуцију злонамерног садржаја неслутећим корисницима.
Преглед садржаја
Злоупотреба YouTube-а за дистрибуцију злонамерног софтвера
Кампања користи компромитоване креаторске налоге за постављање видео снимака који представљају оружје и преусмеравају гледаоце на преузимања заражена злонамерним софтвером. Идентификовано је око 100 видео снимака повезаних са овом операцијом, који су заједно привукли око 220.000 прегледа. Ова постављања потичу са 39 хакованих налога, а најранија активност датира из 22. децембра 2024. године. Иако је Google од тада уклонио већину садржаја, досег постигнут пре уклањања подвлачи ефикасност методе дистрибуције.
Напредна испорука корисног терета преко Кидкадија
Једна примећена варијанта GachiLoader-а користи секундарну компоненту злонамерног софтвера под називом Kidkadi, која уводи неконвенционалан приступ убризгавању преносивих извршних датотека (PE). Уместо директног учитавања злонамерног бинарног фајла, техника првобитно учитава легитимни DLL, а затим искоришћава векторско руковање изузецима (VEH) да би га динамички заменила злонамерним корисним садржајем током извршавања. Ова замена у ходу омогућава злонамерном софтверу да се уклопи у легитимне процесе.
Могућност вишеструког терета и прикривене операције
Поред Кикадија, документовано је да и GachiLoader испоручује крађу информација Rhadamanthys, демонстрирајући своју флексибилност као платформу за испоруку злонамерног софтвера. Као и други модерни учитавачи, дизајниран је да преузима и распоређује додатне корисне терете, док истовремено врши опсежне анти-аналитичке и избегавајуће провере како би отежао откривање и форензичку истрагу.
Ескалација привилегија путем социјалног инжењеринга
Програм за учитавање проверава да ли се извршава са администраторским привилегијама покретањем команде net session. Ако овај тест не успе, покушава да се поново покрене са повишеним привилегијама, што покреће дијалог Контроле корисничких налога (UAC). Пошто је злонамерни софтвер обично уграђен у лажне инсталатере који се представљају као популарни софтвер, слично техникама које су раније виђене код CountLoader-а, жртве ће вероватно одобрити захтев, несвесно одобравајући повишен приступ.
Неутрализација програма Microsoft Defender
У својој завршној фази извршавања, GachiLoader активно покушава да ослаби уграђене безбедносне механизме. Циља и завршава SecHealthUI.exe, процес повезан са Microsoft Defender-ом, а затим конфигурише правила искључења како би спречио скенирање одређених директоријума као што су корисничке фасцикле, ProgramData и системске путање Windows-а. Ово осигурава да сви припремљени или преузети корисни подаци остану неоткривени.
Коначна путања извршавања корисног оптерећења
Када се одбрана потисне, GachiLoader или преузима коначни малвер директно са удаљеног сервера или позива помоћни програм за учитавање под називом kidkadi.node. Ова компонента поново злоупотребљава векторско руковање изузецима да би учитала примарни злонамерни садржај, одржавајући конзистентност са дизајном програма за учитавање фокусираним на прикривеност.
Импликације за браниоце и истраживаче
Глумац који стоји иза GachiLoader-а показује дубоко разумевање унутрашњости Windows-а и успешно је развио познату технику убризгавања у варијанту која је избегавајућа. Овај развој догађаја појачава важност континуираног праћења напретка у методама PE убризгавања и архитектурама заснованим на учитавачима, јер актери претњи стално усавршавају своје тактике како би заобишли модерне безбедносне контроле.
