Malware ng GachiLoader
Natuklasan ng mga mananaliksik sa seguridad ang isang bagong natukoy na JavaScript-based malware loader na kilala bilang GachiLoader, na binuo gamit ang Node.js at protektado ng matinding obfuscation. Ang malware na ito ay aktibong kumakalat sa pamamagitan ng tinatawag na YouTube Ghost Network, isang koleksyon ng mga na-hijack na YouTube account na ginamit muli upang mamahagi ng malisyosong nilalaman sa mga walang kamalay-malay na user.
Talaan ng mga Nilalaman
Pag-abuso sa YouTube para sa Pamamahagi ng Malware
Ginagamit ng kampanya ang mga nakompromisong creator account upang mag-upload ng mga weaponized na video na nagre-redirect sa mga manonood sa mga download na may malware. Humigit-kumulang 100 video na may kaugnayan sa operasyong ito ang natukoy, na sama-samang nakakuha ng humigit-kumulang 220,000 views. Ang mga upload na ito ay nagmula sa 39 na na-breach na account, kung saan ang pinakaunang aktibidad ay nasubaybayan pabalik sa Disyembre 22, 2024. Bagama't inalis na ng Google ang karamihan sa nilalaman, ang abot na nakamit bago ang pagtanggal ay nagbibigay-diin sa bisa ng paraan ng pamamahagi.
Paghahatid ng Advanced Payload sa pamamagitan ng Kidkadi
Isang naobserbahang variant ng GachiLoader ang nagde-deploy ng pangalawang bahagi ng malware na pinangalanang Kidkadi, na nagpapakilala ng isang hindi pangkaraniwang paraan ng pag-inject ng Portable Executable (PE). Sa halip na direktang mag-load ng isang malisyosong binary, ang pamamaraan ay unang naglo-load ng isang lehitimong DLL at pagkatapos ay ginagamit ang Vectored Exception Handling (VEH) upang pabago-bagong palitan ito ng isang malisyosong payload habang tumatakbo. Ang on-the-fly na pagpapalit na ito ay nagbibigay-daan sa malware na makihalubilo sa mga lehitimong proseso.
Kakayahang Magkaroon ng Maraming Payload at Mga Operasyong Patago
Bukod sa Kidkadi, naitala rin ang GachiLoader na naghahatid ng Rhadamanthys information stealer, na nagpapakita ng kakayahang umangkop nito bilang isang platform ng paghahatid ng malware. Tulad ng ibang mga modernong loader, dinisenyo ito upang kumuha at mag-deploy ng mga karagdagang payload habang sabay na nagsasagawa ng malawakang anti-analysis at evasion check upang hadlangan ang pagtuklas at forensic investigation.
Pagtaas ng Pribilehiyo sa Pamamagitan ng Social Engineering
Sinusuri ng loader kung ito ay nagpapatakbo nang may mga pribilehiyong administratibo sa pamamagitan ng pagpapatakbo ng utos na net session. Kung mabigo ang pagsubok na ito, susubukan nitong ilunsad muli ang sarili nito nang may mga mataas na karapatan, na magreresulta sa isang dialog na User Account Control (UAC). Dahil ang malware ay karaniwang naka-embed sa mga pekeng installer na nagpapanggap na sikat na software, katulad ng mga pamamaraan na nakita dati sa CountLoader, malamang na aprubahan ng mga biktima ang kahilingan, na hindi namamalayang nagbibigay ng mataas na access.
Pag-neutralize ng Microsoft Defender
Sa huling yugto ng pagpapatupad nito, aktibong tinatangka ng GachiLoader na pahinain ang mga built-in na depensa sa seguridad. Tinatarget at tinatapos nito ang SecHealthUI.exe, isang prosesong naka-link sa Microsoft Defender, at pagkatapos ay kino-configure ang mga panuntunan sa pagbubukod upang maiwasan ang pag-scan ng mga partikular na direktoryo tulad ng mga folder ng user, ProgramData, at mga path ng sistema ng Windows. Tinitiyak nito na ang anumang naka-stage o na-download na mga payload ay mananatiling hindi nade-detect.
Pangwakas na Landas ng Pagpapatupad ng Payload
Kapag napigilan na ang mga depensa, maaaring direktang kunin ng GachiLoader ang pangwakas na malware mula sa isang remote server o tumawag ng isang auxiliary loader na tinatawag na kidkadi.node. Muling inaabuso ng component na ito ang Vectored Exception Handling upang i-load ang pangunahing malisyosong payload, na pinapanatili ang pagkakapare-pareho sa stealth-focused na disenyo ng loader.
Mga Implikasyon para sa mga Tagapagtanggol at Mananaliksik
Ang aktor sa likod ng GachiLoader ay nagpapakita ng malalim na pag-unawa sa mga internal na bahagi ng Windows at matagumpay na nakapagpaunlad ng isang kilalang pamamaraan ng pag-iiniksyon tungo sa isang mas maigsing variant. Pinatitibay ng pag-unlad na ito ang kahalagahan para sa mga tagapagtanggol at analyst ng malware na patuloy na subaybayan ang mga pagsulong sa mga pamamaraan ng pag-iiniksyon ng PE at mga arkitekturang nakabatay sa loader, habang patuloy na pinagbubuti ng mga aktor ng banta ang kanilang mga taktika upang malampasan ang mga modernong kontrol sa seguridad.
