GachiLoader pahavara
Turvauurijad on avastanud äsja tuvastatud JavaScriptil põhineva pahavaralaaduri GachiLoader, mis on loodud Node.js abil ja kaitstud tugeva hägustamise abil. Seda pahavara levitatakse aktiivselt niinimetatud YouTube Ghost Networki kaudu, mis on kaaperdatud YouTube'i kontode kogum, mida kasutatakse pahatahtliku sisu levitamiseks pahaaimamatutele kasutajatele.
Sisukord
YouTube’i kuritarvitamine pahavara levitamiseks
Kampaania kasutab ohustatud loojate kontosid, et laadida üles relvastatud videoid, mis suunavad vaatajaid pahavaraga kaetud allalaadimistele. Selle operatsiooniga seotud umbes 100 videot on tuvastatud, millel on kokku umbes 220 000 vaatamist. Need üleslaadimised pärinevad 39-lt rikutud kontolt, kusjuures varaseim tegevus pärineb 22. detsembrist 2024. Kuigi Google on sellest ajast alates suurema osa sisust eemaldanud, rõhutab eemaldamiseks saavutatud ulatus levitamismeetodi tõhusust.
Täiustatud kasuliku koorma kohaletoimetamine Kidkadi kaudu
Üks GachiLoaderi vaadeldud variant kasutab teisest pahavara komponenti nimega Kidkadi, mis pakub ebatavalist kaasaskantava käivitatava faili (PE) süstimise meetodit. Pahatahtliku binaarfaili otse laadimise asemel laadib see tehnika esmalt legitiimse DLL-faili ja seejärel kasutab Vectored Exception Handlingut (VEH), et see käitusaja jooksul dünaamiliselt pahatahtliku sisuga asendada. See reaalajas asendamine võimaldab pahavaral sulanduda legitiimsete protsessidega.
Mitme kasuliku koorma kandmise võimekus ja varjatud toimingud
Lisaks Kidkadile on GachiLoader dokumenteeritud ka Rhadamanthyse infovarastaja edastamist, mis demonstreerib selle paindlikkust pahavara edastamise platvormina. Nagu teisedki tänapäevased laadurid, on see loodud täiendavate koormuste hankimiseks ja levitamiseks, tehes samal ajal ulatuslikke antianalüüsi ja kõrvalehoidumise kontrolle, et takistada avastamist ja kohtuekspertiisi.
Privileegide eskaleerimine sotsiaalse manipuleerimise abil
Laadija kontrollib, kas see töötab administraatoriõigustega, käivitades käsu net session. Kui see test ebaõnnestub, proovib see end uuesti käivitada kõrgendatud õigustega, mis avab kasutajakonto kontrolli (UAC) dialoogiboksi. Kuna pahavara on tavaliselt manustatud võltsitud installiprogrammidesse, mis teesklevad end populaarse tarkvarana, sarnaselt CountLoaderi puhul varem nähtud tehnikatele, kiidavad ohvrid taotluse tõenäoliselt heaks, andes teadmatult kõrgendatud juurdepääsu.
Microsoft Defenderi neutraliseerimine
Viimases teostusfaasis püüab GachiLoader aktiivselt nõrgestada sisseehitatud turvakaitset. See sihib ja peatab SecHealthUI.exe, mis on Microsoft Defenderiga seotud protsess, ning seejärel konfigureerib välistamisreeglid, et takistada teatud kataloogide, näiteks kasutajakaustade, ProgramData ja Windowsi süsteemiteede skannimist. See tagab, et kõik etapiviisiliselt installitud või allalaaditud kasulikud koormused jäävad avastamata.
Lõplik kasuliku koormuse täitmise tee
Kui kaitsemeetmed on maha surutud, hangib GachiLoader kas lõpliku pahavara otse kaugserverist või käivitab abilaaduri nimega kidkadi.node. See komponent kuritarvitab taas vektoriseeritud erandite käsitlemist, et laadida peamine pahatahtlik koormus, säilitades järjepidevuse laaduri varjatud toimimisele keskendunud disainiga.
Mõju kaitsjatele ja teadlastele
GachiLoaderi taga olev tegija demonstreerib sügavaid teadmisi Windowsi sisemusest ning on edukalt arendanud tuntud süstimistehnikat kõrvalehoiduvaks variandiks. See areng rõhutab, kui oluline on kaitsjatele ja pahavara analüütikutele pidevalt jälgida PE süstimismeetodite ja laaduripõhiste arhitektuuride arengut, kuna ohutegijad täiustavad pidevalt oma taktikaid, et mööda hiilida tänapäevastest turvakontrollidest.
