بدافزار گاچی‌لودر

محققان امنیتی یک بارگذار بدافزار مبتنی بر جاوا اسکریپت به نام GachiLoader را که به تازگی شناسایی شده است، کشف کرده‌اند که با استفاده از Node.js توسعه داده شده و با مبهم‌سازی شدید محافظت می‌شود. این بدافزار به طور فعال از طریق شبکه‌ای به نام YouTube Ghost Network منتشر می‌شود، مجموعه‌ای از حساب‌های کاربری ربوده شده یوتیوب که برای توزیع محتوای مخرب به کاربران ناآگاه تغییر کاربری داده‌اند.

سوءاستفاده از یوتیوب برای توزیع بدافزار

این کمپین از حساب‌های کاربری آسیب‌دیده برای آپلود ویدیوهای مخرب استفاده می‌کند که بینندگان را به دانلودهای آلوده به بدافزار هدایت می‌کند. تقریباً ۱۰۰ ویدیو مرتبط با این عملیات شناسایی شده‌اند که در مجموع حدود ۲۲۰،۰۰۰ بازدید داشته‌اند. این آپلودها از ۳۹ حساب کاربری هک شده سرچشمه گرفته‌اند که اولین فعالیت آنها به ۲۲ دسامبر ۲۰۲۴ برمی‌گردد. در حالی که گوگل از آن زمان بیشتر محتوا را حذف کرده است، میزان دسترسی به آن قبل از حذف، اثربخشی روش توزیع را برجسته می‌کند.

تحویل پیشرفته بار از طریق Kidkadi

یکی از انواع مشاهده‌شده‌ی GachiLoader از یک مؤلفه‌ی بدافزار ثانویه به نام Kidkadi استفاده می‌کند که یک رویکرد تزریق فایل اجرایی قابل حمل (PE) نامتعارف را معرفی می‌کند. این تکنیک به جای بارگذاری مستقیم یک فایل باینری مخرب، ابتدا یک DLL قانونی را بارگذاری می‌کند و سپس از Vectored Exception Handling (VEH) برای جایگزینی پویای آن با یک payload مخرب در زمان اجرا سوءاستفاده می‌کند. این جایگزینی درجا به بدافزار اجازه می‌دهد تا با فرآیندهای قانونی ترکیب شود.

قابلیت حمل چند محموله و عملیات مخفی

فراتر از Kidkadi، GachiLoader همچنین در حال ارائه‌ی سارق اطلاعات Rhadamanthys ثبت شده است که انعطاف‌پذیری آن را به عنوان یک پلتفرم توزیع بدافزار نشان می‌دهد. مانند سایر لودرهای مدرن، این لودر به گونه‌ای طراحی شده است که بارهای اضافی را دریافت و مستقر کند و همزمان بررسی‌های گسترده‌ی ضد تجزیه و تحلیل و گریز را برای جلوگیری از تشخیص و تحقیقات پزشکی قانونی انجام دهد.

افزایش امتیاز از طریق مهندسی اجتماعی

این لودر با اجرای دستور net session بررسی می‌کند که آیا با امتیازات مدیریتی اجرا می‌شود یا خیر. اگر این آزمایش با شکست مواجه شود، تلاش می‌کند تا خود را با امتیازات بالا مجدداً راه‌اندازی کند و یک پنجره‌ی کنترل حساب کاربری (UAC) را نمایش می‌دهد. از آنجا که این بدافزار معمولاً در نصب‌کننده‌های جعلی که خود را به عنوان نرم‌افزار محبوب جا می‌زنند، جاسازی شده است، مشابه تکنیک‌هایی که قبلاً با CountLoader دیده شده است، قربانیان احتمالاً درخواست را تأیید می‌کنند و ناآگاهانه دسترسی بالا را اعطا می‌کنند.

خنثی‌سازی مایکروسافت دیفندر

در مرحله نهایی اجرا، GachiLoader به طور فعال تلاش می‌کند تا دفاع‌های امنیتی داخلی را تضعیف کند. این بدافزار SecHealthUI.exe، فرآیندی مرتبط با Microsoft Defender، را هدف قرار داده و خاتمه می‌دهد و سپس قوانین حذف را برای جلوگیری از اسکن دایرکتوری‌های خاص مانند پوشه‌های کاربر، ProgramData و مسیرهای سیستم ویندوز پیکربندی می‌کند. این امر تضمین می‌کند که هرگونه بار داده مرحله‌بندی شده یا دانلود شده، شناسایی نشود.

مسیر اجرای نهایی پیلود

پس از سرکوب دفاع‌ها، GachiLoader یا بدافزار نهایی را مستقیماً از یک سرور راه دور بازیابی می‌کند یا یک لودر کمکی به نام kidkadi.node را فراخوانی می‌کند. این مؤلفه دوباره از Vectored Exception Handling برای بارگذاری بار مخرب اولیه سوءاستفاده می‌کند و سازگاری با طراحی متمرکز بر پنهان‌کاری لودر را حفظ می‌کند.

پیامدها برای مدافعان و محققان

عامل پشت GachiLoader درک عمیقی از اجزای داخلی ویندوز نشان می‌دهد و با موفقیت یک تکنیک تزریق شناخته‌شده را به یک نوع گریزان‌تر تکامل داده است. این پیشرفت، اهمیت پیگیری مداوم پیشرفت‌ها در روش‌های تزریق PE و معماری‌های مبتنی بر لودر را برای مدافعان و تحلیلگران بدافزار تقویت می‌کند، زیرا عاملان تهدید دائماً تاکتیک‌های خود را برای دور زدن کنترل‌های امنیتی مدرن اصلاح می‌کنند.