برنامج GachiLoader الخبيث
كشف باحثون أمنيون عن برنامج تحميل برمجيات خبيثة جديد يعتمد على لغة جافا سكريبت، يُعرف باسم GachiLoader، تم تطويره باستخدام Node.js ومحمي بتقنيات تشفير متقدمة. ينتشر هذا البرنامج الخبيث بنشاط عبر ما يُسمى بشبكة YouTube Ghost Network، وهي عبارة عن مجموعة من حسابات يوتيوب المخترقة التي أُعيد استخدامها لتوزيع محتوى ضار على مستخدمين غير مدركين.
جدول المحتويات
استغلال موقع يوتيوب لتوزيع البرامج الضارة
تستغل الحملة حسابات منشئي المحتوى المخترقة لتحميل فيديوهات مُعدّلة تُعيد توجيه المشاهدين إلى ملفات مُحمّلة ببرامج خبيثة. تم تحديد ما يقارب 100 فيديو مرتبط بهذه العملية، حصدت مجتمعةً حوالي 220 ألف مشاهدة. صدرت هذه الفيديوهات من 39 حسابًا مخترقًا، ويعود تاريخ أقدم نشاط لها إلى 22 ديسمبر 2024. ورغم أن جوجل قد حذفت معظم المحتوى لاحقًا، إلا أن الانتشار الواسع الذي حققته قبل الحذف يُؤكد فعالية أسلوب التوزيع.
توصيل الحمولة المتقدمة عبر كيدكادي
يستخدم أحد المتغيرات الملحوظة لبرنامج GachiLoader مكونًا خبيثًا ثانويًا يُدعى Kidkadi، والذي يُقدم أسلوبًا غير تقليدي لحقن الملفات التنفيذية المحمولة (PE). فبدلًا من تحميل ملف تنفيذي خبيث مباشرةً، تقوم هذه التقنية بتحميل مكتبة DLL شرعية في البداية، ثم تستغل آلية معالجة الاستثناءات الموجهة (VEH) لاستبدالها ديناميكيًا بحمولة خبيثة أثناء التشغيل. يُمكّن هذا الاستبدال الفوري البرنامج الخبيث من الاندماج مع العمليات الشرعية.
القدرة على حمل حمولات متعددة والعمليات السرية
إلى جانب برنامج Kidkadi، تم توثيق قيام برنامج GachiLoader أيضًا بتوصيل برنامج Rhadamanthys لسرقة المعلومات، مما يدل على مرونته كمنصة لتوصيل البرمجيات الخبيثة. ومثل غيره من برامج التحميل الحديثة، صُمم GachiLoader لجلب ونشر حمولات إضافية مع إجراء فحوصات شاملة مضادة للتحليل والتهرب في الوقت نفسه لعرقلة الكشف والتحقيق الجنائي الرقمي.
تصعيد الامتيازات من خلال الهندسة الاجتماعية
يتحقق برنامج التحميل من صلاحياته الإدارية بتشغيل أمر جلسة الشبكة. إذا فشل هذا الاختبار، يحاول إعادة تشغيل نفسه بصلاحيات موسعة، مما يؤدي إلى ظهور نافذة التحكم في حساب المستخدم (UAC). ولأن هذا البرنامج الخبيث يُدمج عادةً في برامج تثبيت وهمية تتظاهر بأنها برامج شائعة، على غرار التقنيات التي شوهدت سابقًا مع برنامج CountLoader، فمن المرجح أن يوافق الضحايا على الطلب، مانحين إياهم دون علمهم صلاحيات موسعة.
تعطيل برنامج Microsoft Defender
في مرحلة التنفيذ النهائية، يسعى برنامج GachiLoader بنشاط إلى إضعاف آليات الحماية المدمجة. فهو يستهدف وينهي عملية SecHealthUI.exe، المرتبطة ببرنامج Microsoft Defender، ثم يقوم بتكوين قواعد استثناء لمنع فحص مجلدات محددة مثل مجلدات المستخدمين، ومجلد ProgramData، ومسارات نظام Windows. وهذا يضمن عدم اكتشاف أي حمولات مُجهزة أو مُنزّلة.
مسار تنفيذ الحمولة النهائية
بمجرد تعطيل أنظمة الحماية، يقوم برنامج GachiLoader إما باسترداد البرمجية الخبيثة النهائية مباشرةً من خادم بعيد أو باستدعاء مُحمِّل مساعد يُسمى kidkadi.node. يستغل هذا المكون مرة أخرى معالجة الاستثناءات الموجهة لتحميل الحمولة الخبيثة الأساسية، بما يتماشى مع تصميم المُحمِّل الذي يركز على التخفي.
الآثار المترتبة على المدافعين والباحثين
يُظهر المطور المسؤول عن برنامج GachiLoader فهمًا عميقًا لآليات عمل نظام ويندوز، وقد نجح في تطوير تقنية حقن معروفة إلى نسخة أكثر مراوغة. يُؤكد هذا التطور على أهمية أن يتابع المدافعون ومحللو البرمجيات الخبيثة باستمرار التطورات في أساليب حقن ملفات PE والبنى القائمة على برامج التحميل، حيث يُواصل المهاجمون تحسين أساليبهم لتجاوز ضوابط الأمان الحديثة.
