Malware GachiLoader
I ricercatori di sicurezza hanno scoperto un nuovo malware loader basato su JavaScript, noto come GachiLoader, sviluppato utilizzando Node.js e protetto da un pesante offuscamento. Questo malware si propaga attivamente attraverso la cosiddetta YouTube Ghost Network, una raccolta di account YouTube dirottati e riutilizzati per distribuire contenuti dannosi a utenti ignari.
Sommario
Abuso di YouTube per la distribuzione di malware
La campagna sfrutta gli account dei creator compromessi per caricare video che reindirizzano gli spettatori a download contenenti malware. Sono stati identificati circa 100 video collegati a questa operazione, che hanno totalizzato circa 220.000 visualizzazioni. Questi caricamenti provenivano da 39 account violati, con l'attività più antica risalente al 22 dicembre 2024. Sebbene Google abbia da allora rimosso la maggior parte dei contenuti, la portata raggiunta prima della rimozione sottolinea l'efficacia del metodo di distribuzione.
Consegna avanzata del carico tramite Kidkadi
Una variante osservata di GachiLoader implementa un componente malware secondario denominato Kidkadi, che introduce un approccio di iniezione Portable Executable (PE) non convenzionale. Invece di caricare direttamente un file binario dannoso, la tecnica carica inizialmente una DLL legittima e poi sfrutta la gestione delle eccezioni vettoriali (VEH) per sostituirla dinamicamente con un payload dannoso durante l'esecuzione. Questa sostituzione al volo consente al malware di integrarsi nei processi legittimi.
Capacità di carico multiplo e operazioni stealth
Oltre a Kidkadi, è stato documentato che GachiLoader distribuisce anche il ladro di informazioni Rhadamanthys, dimostrando la sua flessibilità come piattaforma di distribuzione di malware. Come altri loader moderni, è progettato per recuperare e distribuire payload aggiuntivi, eseguendo contemporaneamente approfonditi controlli anti-analisi ed elusione per ostacolare il rilevamento e le indagini forensi.
Escalation dei privilegi tramite ingegneria sociale
Il loader verifica se è in esecuzione con privilegi amministrativi eseguendo il comando net session. Se questo test fallisce, tenta di riavviarsi con privilegi elevati, visualizzando una finestra di dialogo di Controllo Account Utente (UAC). Poiché il malware è comunemente incorporato in falsi programmi di installazione che si spacciano per software popolari, in modo simile alle tecniche precedentemente osservate con CountLoader, è probabile che le vittime approvino la richiesta, concedendo inconsapevolmente l'accesso elevato.
Neutralizzazione di Microsoft Defender
Nella fase finale di esecuzione, GachiLoader tenta attivamente di indebolire le difese di sicurezza integrate. Prende di mira e termina SecHealthUI.exe, un processo collegato a Microsoft Defender, e quindi configura regole di esclusione per impedire la scansione di directory specifiche come cartelle utente, ProgramData e percorsi di sistema di Windows. Ciò garantisce che eventuali payload scaricati o caricati in staging non vengano rilevati.
Percorso di esecuzione del payload finale
Una volta soppresse le difese, GachiLoader recupera il malware finale direttamente da un server remoto o richiama un loader ausiliario chiamato kidkadi.node. Anche questo componente sfrutta la gestione vettoriale delle eccezioni per caricare il payload dannoso primario, mantenendo la coerenza con il design incentrato sulla furtività del loader.
Implicazioni per i difensori e i ricercatori
L'autore di GachiLoader dimostra una profonda conoscenza delle dinamiche interne di Windows ed è riuscito a trasformare una tecnica di iniezione nota in una variante più elusiva. Questo sviluppo rafforza l'importanza per i difensori e gli analisti di malware di monitorare costantemente i progressi nei metodi di iniezione PE e nelle architetture basate su loader, mentre gli autori delle minacce affinano costantemente le loro tattiche per aggirare i moderni controlli di sicurezza.
