GachiLoader Malware

భద్రతా పరిశోధకులు కొత్తగా గుర్తించబడిన జావాస్క్రిప్ట్ ఆధారిత మాల్వేర్ లోడర్ అయిన GachiLoader ను కనుగొన్నారు, దీనిని Node.js ఉపయోగించి అభివృద్ధి చేశారు మరియు భారీ అస్పష్టత ద్వారా రక్షించబడ్డారు. ఈ మాల్వేర్ YouTube Ghost Network అని పిలవబడే ద్వారా చురుకుగా ప్రచారం చేయబడుతుంది, ఇది అనుమానించని వినియోగదారులకు హానికరమైన కంటెంట్‌ను పంపిణీ చేయడానికి పునర్నిర్మించబడిన హైజాక్ చేయబడిన YouTube ఖాతాల సేకరణ.

మాల్వేర్ పంపిణీ కోసం YouTube దుర్వినియోగం

ఈ ప్రచారం, వీక్షకులను మాల్వేర్-లేస్డ్ డౌన్‌లోడ్‌లకు దారి మళ్లించే ఆయుధరహిత వీడియోలను అప్‌లోడ్ చేయడానికి రాజీపడిన సృష్టికర్త ఖాతాలను ఉపయోగించుకుంటుంది. ఈ ఆపరేషన్‌తో ముడిపడి ఉన్న దాదాపు 100 వీడియోలు గుర్తించబడ్డాయి, సమిష్టిగా దాదాపు 220,000 వీక్షణలను పొందాయి. ఈ అప్‌లోడ్‌లు 39 ఉల్లంఘన ఖాతాల నుండి ఉద్భవించాయి, తొలి కార్యాచరణ డిసెంబర్ 22, 2024 నాటిది. అప్పటి నుండి గూగుల్ చాలా కంటెంట్‌ను తీసివేసినప్పటికీ, తొలగింపుకు ముందు సాధించిన పరిధి పంపిణీ పద్ధతి యొక్క ప్రభావాన్ని నొక్కి చెబుతుంది.

కిడ్కాడి ద్వారా అధునాతన పేలోడ్ డెలివరీ

GachiLoader యొక్క గమనించిన ఒక వేరియంట్ కిడ్కాడి అనే ద్వితీయ మాల్వేర్ భాగాన్ని అమలు చేస్తుంది, ఇది అసాధారణమైన పోర్టబుల్ ఎగ్జిక్యూటబుల్ (PE) ఇంజెక్షన్ విధానాన్ని పరిచయం చేస్తుంది. హానికరమైన బైనరీని నేరుగా లోడ్ చేయడానికి బదులుగా, ఈ టెక్నిక్ ప్రారంభంలో చట్టబద్ధమైన DLLని లోడ్ చేస్తుంది మరియు రన్‌టైమ్ సమయంలో దానిని హానికరమైన పేలోడ్‌తో డైనమిక్‌గా భర్తీ చేయడానికి వెక్టర్డ్ ఎక్సెప్షన్ హ్యాండ్లింగ్ (VEH)ని దోపిడీ చేస్తుంది. ఈ ఆన్-ది-ఫ్లై ప్రత్యామ్నాయం మాల్వేర్ చట్టబద్ధమైన ప్రక్రియలతో కలపడానికి అనుమతిస్తుంది.

మల్టీ-పేలోడ్ సామర్థ్యం మరియు స్టెల్త్ ఆపరేషన్లు

కిడ్కాడికి మించి, గచ్చిలోడర్ రాడమంతిస్ ఇన్ఫర్మేషన్ స్టీలర్‌ను డెలివరీ చేస్తున్నట్లు కూడా నమోదు చేయబడింది, ఇది మాల్వేర్ డెలివరీ ప్లాట్‌ఫామ్‌గా దాని వశ్యతను ప్రదర్శిస్తుంది. ఇతర ఆధునిక లోడర్‌ల మాదిరిగానే, ఇది అదనపు పేలోడ్‌లను పొందడానికి మరియు అమలు చేయడానికి రూపొందించబడింది, అదే సమయంలో గుర్తింపు మరియు ఫోరెన్సిక్ దర్యాప్తును అడ్డుకోవడానికి విస్తృతమైన యాంటీ-విశ్లేషణ మరియు ఎగవేత తనిఖీలను నిర్వహిస్తుంది.

సోషల్ ఇంజనీరింగ్ ద్వారా ప్రత్యేక హక్కుల పెంపు

లోడర్ నెట్ సెషన్ కమాండ్‌ను అమలు చేయడం ద్వారా అడ్మినిస్ట్రేటివ్ అధికారాలతో అమలు చేస్తుందో లేదో తనిఖీ చేస్తుంది. ఈ పరీక్ష విఫలమైతే, అది తనను తాను ఉన్నత హక్కులతో తిరిగి ప్రారంభించడానికి ప్రయత్నిస్తుంది, ఇది వినియోగదారు ఖాతా నియంత్రణ (UAC) డైలాగ్‌ను ప్రేరేపిస్తుంది. మాల్వేర్ సాధారణంగా జనాదరణ పొందిన సాఫ్ట్‌వేర్‌గా నటిస్తున్న నకిలీ ఇన్‌స్టాలర్‌లలో పొందుపరచబడి ఉంటుంది, గతంలో కౌంట్‌లోడర్‌తో చూసిన టెక్నిక్‌ల మాదిరిగానే, బాధితులు అభ్యర్థనను ఆమోదించే అవకాశం ఉంది, తెలియకుండానే ఉన్నత ప్రాప్యతను మంజూరు చేస్తారు.

మైక్రోసాఫ్ట్ డిఫెండర్‌ను తటస్థీకరిస్తోంది

దాని చివరి అమలు దశలో, GachiLoader అంతర్నిర్మిత భద్రతా రక్షణలను బలహీనపరచడానికి చురుకుగా ప్రయత్నిస్తుంది. ఇది Microsoft Defenderకి లింక్ చేయబడిన ప్రక్రియ అయిన SecHealthUI.exeని లక్ష్యంగా చేసుకుని ముగించి, ఆపై వినియోగదారు ఫోల్డర్‌లు, ProgramData మరియు Windows సిస్టమ్ పాత్‌లు వంటి నిర్దిష్ట డైరెక్టరీలను స్కాన్ చేయకుండా నిరోధించడానికి మినహాయింపు నియమాలను కాన్ఫిగర్ చేస్తుంది. ఇది ఏదైనా దశలవారీగా లేదా డౌన్‌లోడ్ చేయబడిన పేలోడ్‌లు గుర్తించబడకుండా ఉండేలా చేస్తుంది.

తుది పేలోడ్ అమలు మార్గం

రక్షణలు అణచివేయబడిన తర్వాత, GachiLoader తుది మాల్వేర్‌ను నేరుగా రిమోట్ సర్వర్ నుండి తిరిగి పొందుతుంది లేదా kidkadi.node అనే సహాయక లోడర్‌ను అమలు చేస్తుంది. ఈ భాగం మళ్ళీ వెక్టర్డ్ ఎక్సెప్షన్ హ్యాండ్లింగ్‌ను దుర్వినియోగం చేసి, ప్రాథమిక హానికరమైన పేలోడ్‌ను లోడ్ చేస్తుంది, లోడర్ యొక్క స్టెల్త్-ఫోకస్డ్ డిజైన్‌తో స్థిరత్వాన్ని కొనసాగిస్తుంది.

రక్షకులు మరియు పరిశోధకులకు చిక్కులు

GachiLoader వెనుక ఉన్న నటుడు Windows ఇంటర్నల్స్‌పై లోతైన అవగాహనను ప్రదర్శించాడు మరియు తెలిసిన ఇంజెక్షన్ టెక్నిక్‌ను మరింత తప్పించుకునే వేరియంట్‌గా విజయవంతంగా అభివృద్ధి చేశాడు. ఈ అభివృద్ధి డిఫెండర్లు మరియు మాల్వేర్ విశ్లేషకులు PE ఇంజెక్షన్ పద్ధతులు మరియు లోడర్-ఆధారిత ఆర్కిటెక్చర్‌లలో పురోగతిని నిరంతరం ట్రాక్ చేయవలసిన ప్రాముఖ్యతను బలోపేతం చేస్తుంది, ఎందుకంటే బెదిరింపు నటులు ఆధునిక భద్రతా నియంత్రణలను దాటవేయడానికి వారి వ్యూహాలను నిరంతరం మెరుగుపరుస్తారు.