GachiLoader惡意軟體
安全研究人員發現了一種名為 GachiLoader 的新型 JavaScript 惡意軟體載入器,該載入器使用 Node.js 開發,並採用了高度混淆技術進行保護。這種惡意軟體正透過所謂的 YouTube Ghost Network 積極傳播,該網路由一系列被劫持的 YouTube 帳戶組成,這些帳戶被重新用於向毫無戒心的用戶分發惡意內容。
目錄
利用 YouTube 傳播惡意軟體
該攻擊活動利用被盜用的創作者帳戶上傳惡意視頻,將觀眾重定向至惡意軟體下載頁面。目前已發現約100個與此行動相關的視頻,總觀看量約為22萬次。這些影片來自39個被盜帳戶,最早的活動記錄可追溯至2024年12月22日。雖然Google已刪除大部分內容,但刪除前影片的傳播範圍之廣凸顯了這種傳播方式的有效性。
透過基德卡迪進行高級有效載荷交付
已知的 GachiLoader 變種會部署一個名為 Kidkadi 的二級惡意軟體元件,該元件採用了一種非常規的可移植可執行檔 (PE) 注入方式。與直接載入惡意二進位檔案不同,該技術首先載入一個合法的 DLL 文件,然後利用向量化異常處理 (VEH) 在運行時將其動態替換為惡意有效載荷。這種即時替換使得惡意軟體能夠與合法進程混為一談。
多載能力與隱蔽作戰
除了 Kidkadi 之外,GachiLoader 還被證實能夠傳播 Rhadamanthys 資訊竊取程序,這表明它作為惡意軟體傳播平台具有很強的靈活性。與其他現代加載器一樣,GachiLoader 的設計目標是在獲取和部署其他有效載荷的同時,執行廣泛的反分析和規避檢查,以阻礙檢測和取證調查。
透過社會工程學提升特權
此載入程式會執行 net session 指令來檢查自身是否以管理員權限執行。如果此測試失敗,它會嘗試以提升的權限重新啟動自身,從而彈出使用者帳戶控制 (UAC) 對話方塊。由於該惡意軟體通常嵌入偽裝成流行軟體的虛假安裝程式中(類似於先前 CountLoader 的攻擊手法),受害者很可能會批准此請求,從而在不知情的情況下授予其提升的存取權限。
停用 Microsoft Defender
在執行的最後階段,GachiLoader 會主動嘗試削弱內建的安全防禦機制。它會鎖定並終止與 Microsoft Defender 關聯的 SecHealthUI.exe 進程,然後設定排除規則,阻止掃描特定目錄,例如使用者資料夾、ProgramData 和 Windows 系統路徑。這確保了任何預先部署或下載的有效載荷都不會被偵測到。
最終有效載荷執行路徑
一旦防禦機制被壓制,GachiLoader 會直接從遠端伺服器取得最終的惡意軟體,或呼叫名為 kidkadi.node 的輔助載入器。該元件同樣利用向量化異常處理來加載主要的惡意載荷,從而保持了加載器隱蔽性設計的一致性。
對辯護者和研究者的啟示
GachiLoader背後的攻擊者展現了對Windows內部機制的深刻理解,並成功地將一種已知的注入技術演化成更具規避性的變種。這項進展凸顯了防禦者和惡意軟體分析師持續追蹤PE注入方法和基於載入器的架構發展的重要性,因為威脅行為者不斷改進其繞過現代安全控制的策略。
