Κακόβουλο λογισμικό GachiLoader
Ερευνητές ασφαλείας ανακάλυψαν ένα πρόσφατα αναγνωρισμένο πρόγραμμα φόρτωσης κακόβουλου λογισμικού που βασίζεται σε JavaScript, γνωστό ως GachiLoader, το οποίο αναπτύχθηκε χρησιμοποιώντας το Node.js και προστατεύεται από έντονη απόκρυψη περιεχομένου. Αυτό το κακόβουλο λογισμικό διαδίδεται ενεργά μέσω του λεγόμενου Δικτύου Φαντασμάτων YouTube, μιας συλλογής από παραβιασμένους λογαριασμούς YouTube που έχουν επαναχρησιμοποιηθεί για τη διανομή κακόβουλου περιεχομένου σε ανυποψίαστους χρήστες.
Πίνακας περιεχομένων
Κατάχρηση του YouTube για διασπορά κακόβουλου λογισμικού
Η καμπάνια αξιοποιεί παραβιασμένους λογαριασμούς δημιουργών για να ανεβάζει βίντεο με όπλα που ανακατευθύνουν τους θεατές σε λήψεις με κακόβουλο λογισμικό. Έχουν εντοπιστεί περίπου 100 βίντεο που συνδέονται με αυτήν την επιχείρηση, συγκεντρώνοντας συνολικά περίπου 220.000 προβολές. Αυτές οι μεταφορτώσεις προήλθαν από 39 παραβιασμένους λογαριασμούς, με την πρώτη δραστηριότητα να εντοπίζεται στις 22 Δεκεμβρίου 2024. Ενώ η Google έχει έκτοτε αφαιρέσει το μεγαλύτερο μέρος του περιεχομένου, η εμβέλεια που επιτεύχθηκε πριν από την κατάργηση υπογραμμίζει την αποτελεσματικότητα της μεθόδου διανομής.
Προηγμένη Παράδοση Φορτίου μέσω Kidkadi
Μία παρατηρούμενη παραλλαγή του GachiLoader αναπτύσσει ένα δευτερεύον στοιχείο κακόβουλου λογισμικού που ονομάζεται Kidkadi, το οποίο εισάγει μια μη συμβατική προσέγγιση έγχυσης φορητού εκτελέσιμου αρχείου (PE). Αντί να φορτώνει απευθείας ένα κακόβουλο δυαδικό αρχείο, η τεχνική φορτώνει αρχικά ένα νόμιμο DLL και στη συνέχεια εκμεταλλεύεται το Vectored Exception Handling (VEH) για να το αντικαταστήσει δυναμικά με ένα κακόβουλο φορτίο κατά τον χρόνο εκτέλεσης. Αυτή η άμεση αντικατάσταση επιτρέπει στο κακόβουλο λογισμικό να ενσωματωθεί με νόμιμες διεργασίες.
Δυνατότητα πολλαπλού ωφέλιμου φορτίου και μυστικές λειτουργίες
Πέρα από το Kidkadi, το GachiLoader έχει επίσης καταγραφεί ότι παρέχει το εργαλείο κλοπής πληροφοριών Rhadamanthys, αποδεικνύοντας την ευελιξία του ως πλατφόρμα παράδοσης κακόβουλου λογισμικού. Όπως και άλλα σύγχρονα προγράμματα φόρτωσης, έχει σχεδιαστεί για να ανακτά και να αναπτύσσει πρόσθετα ωφέλιμα φορτία, ενώ ταυτόχρονα εκτελεί εκτεταμένους ελέγχους κατά της ανάλυσης και αποφυγής για να εμποδίσει την ανίχνευση και την εγκληματολογική έρευνα.
Κλιμάκωση Προνομίων μέσω Κοινωνικής Μηχανικής
Το πρόγραμμα φόρτωσης ελέγχει εάν εκτελείται με δικαιώματα διαχειριστή εκτελώντας την εντολή net session. Εάν αυτή η δοκιμή αποτύχει, επιχειρεί να επανεκκινηθεί με αυξημένα δικαιώματα, προκαλώντας ένα παράθυρο διαλόγου Ελέγχου Λογαριασμού Χρήστη (UAC). Επειδή το κακόβουλο λογισμικό ενσωματώνεται συνήθως σε ψεύτικα προγράμματα εγκατάστασης που παρουσιάζονται ως δημοφιλές λογισμικό, παρόμοια με τεχνικές που έχουν παρατηρηθεί προηγουμένως με το CountLoader, τα θύματα είναι πιθανό να εγκρίνουν το αίτημα, παραχωρώντας εν αγνοία τους αυξημένη πρόσβαση.
Εξουδετέρωση του Microsoft Defender
Στο τελικό στάδιο εκτέλεσης, το GachiLoader επιχειρεί ενεργά να αποδυναμώσει τις ενσωματωμένες άμυνες ασφαλείας. Στοχεύει και τερματίζει το SecHealthUI.exe, μια διεργασία που συνδέεται με το Microsoft Defender, και στη συνέχεια διαμορφώνει κανόνες αποκλεισμού για να αποτρέψει τη σάρωση συγκεκριμένων καταλόγων, όπως φακέλους χρηστών, ProgramData και διαδρομές συστήματος των Windows. Αυτό διασφαλίζει ότι τυχόν φορτία που έχουν σταδιακή ή ληφθεί παραμένουν απαρατήρητα.
Τελική διαδρομή εκτέλεσης ωφέλιμου φορτίου
Μόλις κατασταλούν οι άμυνες, το GachiLoader είτε ανακτά το τελικό κακόβουλο λογισμικό απευθείας από έναν απομακρυσμένο διακομιστή είτε καλεί έναν βοηθητικό φορτωτή που ονομάζεται kidkadi.node. Αυτό το στοιχείο κάνει ξανά κατάχρηση του Vectored Exception Handling για να φορτώσει το κύριο κακόβουλο ωφέλιμο φορτίο, διατηρώντας τη συνέπεια με τον σχεδιασμό του φορτωτή που εστιάζει στην απροσεξία.
Επιπτώσεις για τους υπερασπιστές και τους ερευνητές
Ο δημιουργός του GachiLoader επιδεικνύει βαθιά κατανόηση των εσωτερικών λειτουργιών των Windows και έχει εξελίξει με επιτυχία μια γνωστή τεχνική injection σε μια πιο evasive παραλλαγή. Αυτή η εξέλιξη ενισχύει τη σημασία για τους υπερασπιστές και τους αναλυτές κακόβουλου λογισμικού να παρακολουθούν συνεχώς τις εξελίξεις στις μεθόδους injection PE και στις αρχιτεκτονικές που βασίζονται σε loader, καθώς οι απειλητικοί παράγοντες βελτιώνουν συνεχώς τις τακτικές τους για να παρακάμπτουν τους σύγχρονους ελέγχους ασφαλείας.
