Phần mềm độc hại GachiLoader
Các nhà nghiên cứu bảo mật đã phát hiện ra một trình tải phần mềm độc hại dựa trên JavaScript mới được xác định có tên là GachiLoader, được phát triển bằng Node.js và được bảo vệ bằng kỹ thuật mã hóa phức tạp. Phần mềm độc hại này đang được lan truyền tích cực thông qua cái gọi là Mạng lưới ma YouTube (YouTube Ghost Network), một tập hợp các tài khoản YouTube bị chiếm đoạt và được sử dụng lại để phân phối nội dung độc hại cho người dùng không hề hay biết.
Mục lục
Lạm dụng YouTube để phát tán phần mềm độc hại
Chiến dịch này lợi dụng các tài khoản người sáng tạo bị xâm nhập để tải lên các video chứa mã độc, chuyển hướng người xem đến các trang tải xuống có chứa phần mềm độc hại. Khoảng 100 video liên quan đến chiến dịch này đã được xác định, thu hút tổng cộng khoảng 220.000 lượt xem. Các video này được tải lên từ 39 tài khoản bị xâm nhập, với hoạt động sớm nhất được truy vết vào ngày 22 tháng 12 năm 2024. Mặc dù Google đã xóa hầu hết nội dung, nhưng phạm vi tiếp cận đạt được trước khi bị gỡ bỏ cho thấy hiệu quả của phương pháp phát tán này.
Phương thức vận chuyển dữ liệu nâng cao thông qua Kidkadi
Một biến thể được quan sát của GachiLoader triển khai một thành phần phần mềm độc hại thứ cấp có tên Kidkadi, giới thiệu một phương pháp tiêm mã thực thi di động (PE) không thông thường. Thay vì tải trực tiếp một tệp nhị phân độc hại, kỹ thuật này ban đầu tải một DLL hợp pháp và sau đó khai thác Xử lý ngoại lệ có định hướng (VEH) để thay thế động nó bằng một payload độc hại trong quá trình chạy. Việc thay thế tức thời này cho phép phần mềm độc hại hòa lẫn với các tiến trình hợp pháp.
Khả năng mang nhiều tải trọng và hoạt động tàng hình
Ngoài Kidkadi, GachiLoader cũng được ghi nhận là có khả năng phát tán phần mềm đánh cắp thông tin Rhadamanthys, chứng tỏ tính linh hoạt của nó như một nền tảng phân phối phần mềm độc hại. Giống như các trình tải hiện đại khác, nó được thiết kế để tải xuống và triển khai các payload bổ sung đồng thời thực hiện các kiểm tra chống phân tích và né tránh mở rộng để cản trở việc phát hiện và điều tra pháp y.
Tăng cường đặc quyền thông qua kỹ thuật thao túng tâm lý
Chương trình khởi chạy kiểm tra xem nó có đang thực thi với quyền quản trị hay không bằng cách chạy lệnh net session. Nếu thử nghiệm này thất bại, nó sẽ cố gắng khởi chạy lại chính nó với quyền cao hơn, dẫn đến hộp thoại Kiểm soát Tài khoản Người dùng (UAC). Vì phần mềm độc hại này thường được nhúng trong các trình cài đặt giả mạo các phần mềm phổ biến, tương tự như các kỹ thuật đã thấy trước đây với CountLoader, nạn nhân có thể chấp nhận yêu cầu, mà không biết rằng mình đang cấp quyền truy cập cao hơn.
Vô hiệu hóa Microsoft Defender
Ở giai đoạn thực thi cuối cùng, GachiLoader chủ động tìm cách làm suy yếu các biện pháp phòng vệ an ninh tích hợp. Nó nhắm mục tiêu và chấm dứt SecHealthUI.exe, một tiến trình liên kết với Microsoft Defender, sau đó cấu hình các quy tắc loại trừ để ngăn chặn việc quét các thư mục cụ thể như thư mục người dùng, ProgramData và các đường dẫn hệ thống Windows. Điều này đảm bảo rằng bất kỳ phần mềm độc hại nào được chuẩn bị hoặc tải xuống đều không bị phát hiện.
Đường dẫn thực thi tải trọng cuối cùng
Sau khi các biện pháp phòng thủ bị vô hiệu hóa, GachiLoader sẽ tải phần mềm độc hại cuối cùng trực tiếp từ máy chủ từ xa hoặc gọi một trình tải phụ trợ có tên là kidkadi.node. Thành phần này lại lợi dụng Xử lý Ngoại lệ Theo Hướng (Vectored Exception Handling) để tải phần mềm độc hại chính, duy trì tính nhất quán với thiết kế tập trung vào khả năng ẩn mình của trình tải.
Ý nghĩa đối với các nhà bảo vệ và các nhà nghiên cứu
Tác nhân đứng sau GachiLoader thể hiện sự hiểu biết sâu sắc về cấu trúc bên trong của Windows và đã thành công trong việc phát triển một kỹ thuật tiêm mã độc đã biết thành một biến thể khó bị phát hiện hơn. Sự phát triển này củng cố tầm quan trọng của việc các chuyên gia bảo mật và phân tích phần mềm độc hại phải liên tục theo dõi những tiến bộ trong các phương pháp tiêm mã độc vào tệp PE và kiến trúc dựa trên trình tải, vì các tác nhân đe dọa liên tục tinh chỉnh chiến thuật của chúng để vượt qua các biện pháp kiểm soát an ninh hiện đại.
