GachiLoader Kötü Amaçlı Yazılımı
Güvenlik araştırmacıları, Node.js kullanılarak geliştirilen ve yoğun gizleme yöntemleriyle korunan, GachiLoader olarak bilinen yeni bir JavaScript tabanlı kötü amaçlı yazılım yükleyicisini ortaya çıkardı. Bu kötü amaçlı yazılım, kötü amaçlı içeriği şüphelenmeyen kullanıcılara dağıtmak için yeniden kullanılan ele geçirilmiş YouTube hesaplarından oluşan "YouTube Hayalet Ağı" olarak adlandırılan ağ üzerinden aktif olarak yayılıyor.
İçindekiler
YouTube’un Kötü Amaçlı Yazılım Dağıtımı İçin Kötüye Kullanılması
Bu kampanya, ele geçirilmiş içerik oluşturucu hesaplarını kullanarak izleyicileri kötü amaçlı yazılım içeren indirmelere yönlendiren, silahlandırılmış videolar yüklüyor. Bu operasyonla bağlantılı yaklaşık 100 video tespit edildi ve bunların toplam izlenme sayısı yaklaşık 220.000'e ulaştı. Bu yüklemeler, 39 ele geçirilmiş hesaptan kaynaklanıyor ve en eski faaliyet 22 Aralık 2024 tarihine kadar takip edilebiliyor. Google, içeriğin büyük bir kısmını kaldırmış olsa da, kaldırılmadan önce elde edilen erişim, dağıtım yönteminin etkinliğini vurguluyor.
Kidkadi aracılığıyla Gelişmiş Yük Teslimatı
GachiLoader'ın gözlemlenen bir varyantı, alışılmadık bir Taşınabilir Çalıştırılabilir Dosya (PE) enjeksiyon yaklaşımı sunan Kidkadi adlı ikincil bir kötü amaçlı yazılım bileşenini devreye sokar. Bu teknik, kötü amaçlı bir ikili dosyayı doğrudan yüklemek yerine, başlangıçta meşru bir DLL yükler ve ardından çalışma zamanında dinamik olarak kötü amaçlı bir yükle değiştirmek için Vektörlü İstisna İşleme (VEH) mekanizmasını kullanır. Bu anlık değiştirme, kötü amaçlı yazılımın meşru süreçlerle bütünleşmesini sağlar.
Çoklu Yük Taşıma Yeteneği ve Gizli Operasyonlar
Kidkadi'nin ötesinde, GachiLoader'ın Rhadamanthys bilgi hırsızı yazılımını da dağıttığı belgelenmiştir; bu da kötü amaçlı yazılım dağıtım platformu olarak esnekliğini göstermektedir. Diğer modern yükleyiciler gibi, tespit edilmeyi ve adli soruşturmayı engellemek için kapsamlı analiz karşıtı ve kaçınma kontrolleri yaparken aynı zamanda ek yükleri indirmek ve dağıtmak üzere tasarlanmıştır.
Sosyal Mühendislik Yoluyla Ayrıcalık Yükseltme
Yükleyici, net session komutunu çalıştırarak yönetici ayrıcalıklarıyla çalışıp çalışmadığını kontrol eder. Bu test başarısız olursa, yükseltilmiş haklarla kendini yeniden başlatmaya çalışır ve bir Kullanıcı Hesabı Kontrolü (UAC) iletişim kutusu görüntüler. Kötü amaçlı yazılım, daha önce CountLoader'da görülen tekniklere benzer şekilde, popüler yazılımlar gibi görünen sahte yükleyicilere sıklıkla yerleştirildiğinden, kurbanlar büyük olasılıkla isteği onaylayarak, farkında olmadan yükseltilmiş erişim izni verirler.
Microsoft Defender’ı etkisiz hale getirme
GachiLoader, son yürütme aşamasında, yerleşik güvenlik savunmalarını aktif olarak zayıflatmaya çalışır. Microsoft Defender ile bağlantılı bir işlem olan SecHealthUI.exe'yi hedef alır ve sonlandırır, ardından kullanıcı klasörleri, ProgramData ve Windows sistem yolları gibi belirli dizinlerin taranmasını önlemek için dışlama kuralları yapılandırır. Bu, hazırlanan veya indirilen zararlı yazılımların tespit edilmemesini sağlar.
Son Yük Yürütme Yolu
Savunma mekanizmaları devre dışı bırakıldıktan sonra, GachiLoader ya nihai kötü amaçlı yazılımı doğrudan uzak bir sunucudan alır ya da kidkadi.node adlı yardımcı bir yükleyiciyi çağırır. Bu bileşen, yükleyicinin gizlilik odaklı tasarımıyla tutarlılığı koruyarak, birincil kötü amaçlı yükü yüklemek için yine Vektörlü İstisna İşleme yöntemini kötüye kullanır.
Savunucular ve Araştırmacılar İçin Çıkarımlar
GachiLoader'ın arkasındaki aktör, Windows'un iç işleyişine dair derin bir anlayış sergiliyor ve bilinen bir enjeksiyon tekniğini daha tehlikeli bir varyanta dönüştürmeyi başardı. Bu gelişme, tehdit aktörlerinin modern güvenlik kontrollerini atlatmak için taktiklerini sürekli olarak geliştirmesi nedeniyle, savunmacılar ve kötü amaçlı yazılım analistlerinin PE enjeksiyon yöntemlerindeki ve yükleyici tabanlı mimarilerdeki gelişmeleri sürekli olarak takip etmesinin önemini pekiştiriyor.
