GachiLoader恶意软件
安全研究人员发现了一种名为 GachiLoader 的新型 JavaScript 恶意软件加载器,该加载器使用 Node.js 开发,并采用了高度混淆技术进行保护。这种恶意软件正通过所谓的 YouTube Ghost Network 积极传播,该网络由一系列被劫持的 YouTube 帐户组成,这些帐户被重新用于向毫无戒心的用户分发恶意内容。
目录
利用 YouTube 传播恶意软件
该攻击活动利用被盗用的创作者账户上传恶意视频,将观看者重定向至恶意软件下载页面。目前已发现约100个与此行动相关的视频,总观看量约为22万次。这些视频来自39个被盗账户,最早的活动记录可追溯至2024年12月22日。虽然谷歌已删除大部分内容,但删除前视频的传播范围之广凸显了这种传播方式的有效性。
通过基德卡迪进行高级有效载荷交付
已知的 GachiLoader 变种会部署一个名为 Kidkadi 的二级恶意软件组件,该组件采用了一种非常规的可移植可执行文件 (PE) 注入方式。与直接加载恶意二进制文件不同,该技术首先加载一个合法的 DLL 文件,然后利用向量化异常处理 (VEH) 在运行时将其动态替换为恶意有效载荷。这种即时替换使得恶意软件能够与合法进程混为一谈。
多载荷能力和隐蔽作战
除了 Kidkadi 之外,GachiLoader 也被证实能够传播 Rhadamanthys 信息窃取程序,这表明它作为恶意软件传播平台具有很强的灵活性。与其他现代加载器一样,GachiLoader 的设计目标是在获取和部署其他有效载荷的同时,执行广泛的反分析和规避检查,以阻碍检测和取证调查。
通过社会工程学提升特权
该加载程序会运行 net session 命令来检查自身是否以管理员权限运行。如果此测试失败,它会尝试以提升的权限重新启动自身,从而弹出用户帐户控制 (UAC) 对话框。由于该恶意软件通常嵌入伪装成流行软件的虚假安装程序中(类似于之前 CountLoader 的攻击手法),受害者很可能会批准此请求,从而在不知情的情况下授予其提升的访问权限。
禁用 Microsoft Defender
在执行的最后阶段,GachiLoader 会主动尝试削弱内置的安全防御机制。它会锁定并终止与 Microsoft Defender 关联的 SecHealthUI.exe 进程,然后配置排除规则,阻止扫描特定目录,例如用户文件夹、ProgramData 和 Windows 系统路径。这确保了任何预先部署或下载的有效载荷都不会被检测到。
最终有效载荷执行路径
一旦防御机制被压制,GachiLoader 会直接从远程服务器获取最终的恶意软件,或者调用名为 kidkadi.node 的辅助加载器。该组件同样利用向量化异常处理来加载主要的恶意载荷,从而保持了加载器隐蔽性设计的一致性。
对辩护者和研究人员的启示
GachiLoader背后的攻击者展现了对Windows内部机制的深刻理解,并成功地将一种已知的注入技术演化成更具规避性的变种。这一进展凸显了防御者和恶意软件分析师持续追踪PE注入方法和基于加载器的架构发展的重要性,因为威胁行为者不断改进其绕过现代安全控制的策略。
