GachiLoader-haittaohjelma
Tietoturvatutkijat ovat paljastaneet äskettäin tunnistetun JavaScript-pohjaisen haittaohjelmien lataajan nimeltä GachiLoader, joka on kehitetty Node.js:n avulla ja suojattu tehokkaalla hämärtämisellä. Tätä haittaohjelmaa levitetään aktiivisesti niin kutsutun YouTube Ghost Networkin kautta, joka on kokoelma kaapattuja YouTube-tilejä, joita käytetään haitallisen sisällön levittämiseen tietämättömille käyttäjille.
Sisällysluettelo
YouTuben väärinkäyttö haittaohjelmien levittämiseen
Kampanja hyödyntää murtautuneita sisällöntuottajien tilejä ladatakseen aseistettuja videoita, jotka ohjaavat katsojia haittaohjelmia sisältäviin latauksiin. Noin 100 tähän operaatioon liittyvää videota on tunnistettu, ja niillä on yhteensä noin 220 000 katselukertaa. Nämä lataukset ovat peräisin 39 murtautuneelta tililtä, ja varhaisin toiminta on ajoitettu 22. joulukuuta 2024. Vaikka Google on sittemmin poistanut suurimman osan sisällöstä, ennen poistoa saavutettu tavoittavuus korostaa jakelumenetelmän tehokkuutta.
Edistynyt hyötykuorman toimitus Kidkadin kautta
Yksi havaittu GachiLoaderin variantti käyttää Kidkadi-nimistä toissijaista haittaohjelmakomponenttia, joka tuo mukanaan epätavanomaisen Portable Executable (PE) -injektiomenetelmän. Haitallisen binääritiedoston suoran lataamisen sijaan tekniikka lataa aluksi laillisen DLL-tiedoston ja hyödyntää sitten Vectored Exception Handling (VEH) -tekniikkaa korvatakseen sen dynaamisesti haitallisella hyötytiedostolla suorituksen aikana. Tämä lennossa tapahtuva korvaaminen mahdollistaa haittaohjelman sulautumisen laillisiin prosesseihin.
Usean hyötykuorman kantokyky ja häivetoiminnot
Kidkadin lisäksi GachiLoaderin on dokumentoitu toimittaneen Rhadamanthys-tiedonvarastajaa, mikä osoittaa sen joustavuuden haittaohjelmien toimitusalustana. Kuten muutkin nykyaikaiset latausohjelmat, se on suunniteltu hakemaan ja lähettämään lisää hyötykuormia samalla, kun se suorittaa laajoja anti-analyysejä ja väistötarkistuksia estääkseen havaitsemisen ja rikostutkinnan.
Etuoikeuksien eskalointi sosiaalisen manipuloinnin avulla
Lataaja tarkistaa, toimiiko se järjestelmänvalvojan oikeuksilla, suorittamalla komennon net session. Jos tämä testi epäonnistuu, se yrittää käynnistää itsensä uudelleen laajennetuilla oikeuksilla, mikä avaa käyttäjätilien valvonnan (UAC) valintaikkunan. Koska haittaohjelma on yleisesti upotettu tekaistuihin asennusohjelmiin, jotka tekeytyvät suosituiksi ohjelmistoiksi, samalla tavalla kuin aiemmin CountLoaderissa on nähty, uhrit todennäköisesti hyväksyvät pyynnön ja myöntävät tietämättään laajennetut käyttöoikeudet.
Microsoft Defenderin neutralointi
Viimeisessä suoritusvaiheessaan GachiLoader pyrkii aktiivisesti heikentämään sisäänrakennettuja suojausmekanismeja. Se kohdistaa hyökkäyksensä Microsoft Defenderiin linkitettyyn SecHealthUI.exe-prosessiin ja lopettaa sen. Tämän jälkeen se määrittää poissulkemissäännöt estämään tiettyjen kansioiden, kuten käyttäjäkansioiden, ProgramDatan ja Windowsin järjestelmäpolkujen, skannauksen. Tämä varmistaa, että kaikki vaiheittaiset tai ladatut hyötykuormat pysyvät havaitsemattomina.
Lopullinen hyötykuorman suorituspolku
Kun puolustusmekanismit on poistettu, GachiLoader joko hakee viimeisen haittaohjelman suoraan etäpalvelimelta tai käynnistää kidkadi.node-nimisen apulataajan. Tämä komponentti käyttää jälleen väärin Vectored Exception Handling -poikkeusten käsittelyä ensisijaisen haitallisen hyötykuorman lataamiseen, säilyttäen yhdenmukaisuuden lataajan piilotuskeskeisen suunnittelun kanssa.
Vaikutukset puolustajille ja tutkijoille
GachiLoaderin takana oleva toimija osoittaa syvällistä ymmärrystä Windowsin sisäisistä rakenteista ja on onnistuneesti kehittänyt tunnetun injektiotekniikan välttelevämmäksi variantiksi. Tämä kehitys korostaa sitä, kuinka tärkeää puolustajille ja haittaohjelma-analyytikoille on jatkuvasti seurata PE-injektiomenetelmien ja latausohjelmapohjaisten arkkitehtuurien kehitystä, kun uhkatoimijat jatkuvasti hiovat taktiikoitaan ohittaakseen nykyaikaiset tietoturvakontrollit.
