GachiLoader मालवेयर

सुरक्षा अनुसन्धानकर्ताहरूले नयाँ पहिचान गरिएको जाभास्क्रिप्ट-आधारित मालवेयर लोडर पत्ता लगाएका छन् जसलाई GachiLoader भनिन्छ, जुन Node.js प्रयोग गरेर विकसित गरिएको छ र भारी अस्पष्टताद्वारा सुरक्षित गरिएको छ। यो मालवेयर सक्रिय रूपमा तथाकथित YouTube Ghost Network मार्फत प्रचार गरिएको छ, जुन अपहरण गरिएका YouTube खाताहरूको संग्रह हो जुन शंकास्पद प्रयोगकर्ताहरूलाई दुर्भावनापूर्ण सामग्री वितरण गर्न पुन: उद्देश्य राखिएको छ।

मालवेयर वितरणको लागि YouTube को दुरुपयोग

अभियानले हतियारधारी भिडियोहरू अपलोड गर्न सम्झौता गरिएका सिर्जनाकर्ता खाताहरूको प्रयोग गर्दछ जसले दर्शकहरूलाई मालवेयर-लेस्ड डाउनलोडहरूमा रिडिरेक्ट गर्दछ। यस अपरेशनसँग सम्बन्धित लगभग १०० भिडियोहरू पहिचान गरिएको छ, सामूहिक रूपमा लगभग २,२०,००० भ्यूहरू प्राप्त भएका छन्। यी अपलोडहरू ३९ उल्लंघन गरिएका खाताहरूबाट उत्पन्न भएका थिए, जसको प्रारम्भिक गतिविधि डिसेम्बर २२, २०२४ मा पत्ता लागेको थियो। गुगलले त्यसबेलादेखि धेरैजसो सामग्री हटाएको भए तापनि, हटाउनु अघि प्राप्त पहुँचले वितरण विधिको प्रभावकारितालाई जोड दिन्छ।

किडकाडी मार्फत उन्नत पेलोड डेलिभरी

GachiLoader को एउटा अवलोकन गरिएको संस्करणले Kidkadi नामक माध्यमिक मालवेयर कम्पोनेन्ट तैनाथ गर्दछ, जसले अपरम्परागत पोर्टेबल एक्जिक्युटेबल (PE) इंजेक्शन दृष्टिकोण प्रस्तुत गर्दछ। मालिसियस बाइनरीलाई प्रत्यक्ष रूपमा लोड गर्नुको सट्टा, यो प्रविधिले सुरुमा वैध DLL लोड गर्छ र त्यसपछि रनटाइमको समयमा मालिसियस पेलोडले गतिशील रूपमा प्रतिस्थापन गर्न भेक्टर एक्सेप्शन ह्यान्डलिङ (VEH) को शोषण गर्छ। यो अन-द-फ्लाई प्रतिस्थापनले मालवेयरलाई वैध प्रक्रियाहरूसँग मिसाउन अनुमति दिन्छ।

बहु-पेलोड क्षमता र चुपचाप सञ्चालनहरू

किडकाडीभन्दा बाहिर, GachiLoader लाई Rhadamanthys जानकारी चोरी गर्ने उपकरण प्रदान गर्ने दस्तावेजीकरण गरिएको छ, जसले मालवेयर डेलिभरी प्लेटफर्मको रूपमा यसको लचिलोपन प्रदर्शन गर्दछ। अन्य आधुनिक लोडरहरू जस्तै, यो पत्ता लगाउने र फोरेन्सिक अनुसन्धानमा बाधा पुर्‍याउन व्यापक एन्टी-विश्लेषण र चोरी जाँचहरू गर्दै अतिरिक्त पेलोडहरू ल्याउन र तैनाथ गर्न डिजाइन गरिएको हो।

सामाजिक इन्जिनियरिङ मार्फत विशेषाधिकार वृद्धि

लोडरले नेट सेसन कमाण्ड चलाएर प्रशासनिक विशेषाधिकारहरूसँग कार्यान्वयन भइरहेको छ कि छैन भनेर जाँच गर्छ। यदि यो परीक्षण असफल भयो भने, यसले उन्नत अधिकारहरूसँग पुन: सुरु गर्ने प्रयास गर्छ, जसले गर्दा प्रयोगकर्ता खाता नियन्त्रण (UAC) संवाद सुरु हुन्छ। मालवेयर सामान्यतया लोकप्रिय सफ्टवेयरको रूपमा प्रस्तुत गर्ने नक्कली स्थापनाकर्ताहरूमा इम्बेड गरिएको हुनाले, पहिले काउन्टलोडरमा देखिएका प्रविधिहरू जस्तै, पीडितहरूले अनुरोधलाई अनुमोदन गर्ने सम्भावना हुन्छ, अनजानमा उन्नत पहुँच प्रदान गर्ने।

माइक्रोसफ्ट डिफेन्डरलाई तटस्थ गर्दै

यसको अन्तिम कार्यान्वयन चरणमा, GachiLoader ले सक्रिय रूपमा निर्मित सुरक्षा प्रतिरक्षाहरूलाई कमजोर पार्ने प्रयास गर्दछ। यसले Microsoft Defender सँग जोडिएको प्रक्रिया SecHealthUI.exe लाई लक्षित गर्दछ र समाप्त गर्दछ, र त्यसपछि प्रयोगकर्ता फोल्डरहरू, ProgramData, र Windows प्रणाली पथहरू जस्ता विशिष्ट निर्देशिकाहरूको स्क्यानिङ रोक्न बहिष्करण नियमहरू कन्फिगर गर्दछ। यसले कुनै पनि चरणबद्ध वा डाउनलोड गरिएका पेलोडहरू पत्ता नलाग्ने कुरा सुनिश्चित गर्दछ।

अन्तिम पेलोड कार्यान्वयन मार्ग

एकपटक प्रतिरक्षाहरू दबाइएपछि, GachiLoader ले या त रिमोट सर्भरबाट सिधै अन्तिम मालवेयर पुन: प्राप्त गर्दछ वा kidkadi.node भनिने सहायक लोडरलाई बोलाउँछ। यो कम्पोनेन्टले फेरि प्राथमिक मालिसियस पेलोड लोड गर्न भेक्टर एक्सेप्शन ह्यान्डलिङको दुरुपयोग गर्दछ, लोडरको स्टिल्थ-केन्द्रित डिजाइनसँग स्थिरता कायम राख्दै।

रक्षक र अनुसन्धानकर्ताहरूको लागि निहितार्थ

GachiLoader पछाडिका अभिनेताले विन्डोज इन्टरनलहरूको गहिरो बुझाइ प्रदर्शन गर्छन् र एक ज्ञात इन्जेक्सन प्रविधिलाई अझ बढी बेवास्ता गर्ने संस्करणमा सफलतापूर्वक विकास गरेका छन्। यो विकासले डिफेन्डरहरू र मालवेयर विश्लेषकहरूको लागि PE इन्जेक्सन विधिहरू र लोडर-आधारित आर्किटेक्चरहरूमा निरन्तर प्रगतिहरू ट्र्याक गर्नको लागि महत्त्वलाई बलियो बनाउँछ, किनकि खतरा अभिनेताहरूले आधुनिक सुरक्षा नियन्त्रणहरू बाइपास गर्न आफ्नो रणनीतिहरूलाई निरन्तर परिष्कृत गर्छन्।