Perisian Hasad GachiLoader
Penyelidik keselamatan telah menemui pemuat perisian hasad berasaskan JavaScript yang baru dikenal pasti dikenali sebagai GachiLoader, yang dibangunkan menggunakan Node.js dan dilindungi oleh pengeliruan yang berat. Perisian hasad ini disebarkan secara aktif melalui apa yang dipanggil YouTube Ghost Network, iaitu koleksi akaun YouTube yang dirampas yang digunakan semula untuk mengedarkan kandungan berniat jahat kepada pengguna yang tidak curiga.
Isi kandungan
Penyalahgunaan YouTube untuk Pengedaran Perisian Hasad
Kempen ini memanfaatkan akaun pencipta yang diceroboh untuk memuat naik video yang direka bentuk sebagai senjata yang mengalihkan penonton ke muat turun yang mengandungi perisian hasad. Kira-kira 100 video yang berkaitan dengan operasi ini telah dikenal pasti, secara kolektifnya menarik sekitar 220,000 tontonan. Muat naik ini berasal dari 39 akaun yang diceroboh, dengan aktiviti terawal dikesan kembali ke 22 Disember 2024. Walaupun Google telah mengalih keluar kebanyakan kandungan sejak itu, jangkauan yang dicapai sebelum penyingkiran menggariskan keberkesanan kaedah pengedaran.
Penghantaran Muatan Lanjutan melalui Kidkadi
Satu varian GachiLoader yang diperhatikan menggunakan komponen malware sekunder bernama Kidkadi, yang memperkenalkan pendekatan suntikan Portable Executable (PE) yang tidak konvensional. Daripada memuatkan binari berniat jahat secara langsung, teknik ini pada mulanya memuatkan DLL yang sah dan kemudian mengeksploitasi Pengendalian Pengecualian Vektor (VEH) untuk menggantikannya secara dinamik dengan muatan berniat jahat semasa masa jalan. Penggantian serta-merta ini membolehkan malware bercampur dengan proses yang sah.
Keupayaan Berbilang Muatan dan Operasi Senyap
Selain Kidkadi, GachiLoader juga telah didokumentasikan menyampaikan pencuri maklumat Rhadamanthys, menunjukkan fleksibilitinya sebagai platform penghantaran perisian hasad. Seperti pemuat moden yang lain, ia direka bentuk untuk mengambil dan menggunakan muatan tambahan sambil pada masa yang sama melakukan pemeriksaan anti-analisis dan pengelakan yang meluas untuk menghalang pengesanan dan penyiasatan forensik.
Peningkatan Keistimewaan Melalui Kejuruteraan Sosial
Pemuat menyemak sama ada ia dilaksanakan dengan keistimewaan pentadbiran dengan menjalankan arahan sesi net. Jika ujian ini gagal, ia cuba melancarkan semula dirinya dengan hak yang ditinggikan, lalu mencetuskan dialog Kawalan Akaun Pengguna (UAC). Oleh kerana perisian hasad biasanya terbenam dalam pemasang palsu yang menyamar sebagai perisian popular, serupa dengan teknik yang dilihat sebelum ini dengan CountLoader, mangsa mungkin akan meluluskan permintaan tersebut, tanpa disedari memberikan akses yang ditinggikan.
Meneutralkan Microsoft Defender
Dalam peringkat pelaksanaan terakhirnya, GachiLoader secara aktif cuba melemahkan pertahanan keselamatan terbina dalam. Ia menyasarkan dan menamatkan SecHealthUI.exe, proses yang dipautkan kepada Microsoft Defender, dan kemudian mengkonfigurasi peraturan pengecualian untuk menghalang pengimbasan direktori tertentu seperti folder pengguna, ProgramData dan laluan sistem Windows. Ini memastikan bahawa sebarang muatan yang dipentaskan atau dimuat turun kekal tidak dikesan.
Laluan Pelaksanaan Muatan Akhir
Sebaik sahaja pertahanan disekat, GachiLoader sama ada mengambil malware akhir terus daripada pelayan jauh atau memanggil pemuat tambahan yang dipanggil kidkadi.node. Komponen ini sekali lagi menyalahgunakan Pengendalian Pengecualian Vektor untuk memuatkan muatan berniat jahat utama, mengekalkan konsistensi dengan reka bentuk yang berfokus pada penyenyapan pemuat.
Implikasi untuk Pembela dan Penyelidik
Pelakon di sebalik GachiLoader menunjukkan pemahaman yang mendalam tentang dalaman Windows dan telah berjaya mengembangkan teknik suntikan yang diketahui menjadi varian yang lebih mengelak. Perkembangan ini mengukuhkan kepentingan bagi pembela dan penganalisis perisian hasad untuk terus menjejaki kemajuan dalam kaedah suntikan PE dan seni bina berasaskan pemuat, memandangkan pelaku ancaman sentiasa memperhalusi taktik mereka untuk memintas kawalan keselamatan moden.
