GachiLoader-malware
Beveiligingsonderzoekers hebben een nieuwe, op JavaScript gebaseerde malwareloader ontdekt, genaamd GachiLoader. Deze malware is ontwikkeld met Node.js en is sterk geobfusceerd. De malware wordt actief verspreid via het zogenaamde YouTube Ghost Network, een verzameling gehackte YouTube-accounts die worden gebruikt om schadelijke content te verspreiden onder nietsvermoedende gebruikers.
Inhoudsopgave
Misbruik van YouTube voor de verspreiding van malware.
De campagne maakt gebruik van gehackte accounts van contentmakers om schadelijke video's te uploaden die kijkers doorverwijzen naar downloads met malware. Er zijn ongeveer 100 video's geïdentificeerd die aan deze operatie zijn gekoppeld, met een gezamenlijk aantal van ongeveer 220.000 weergaven. Deze uploads waren afkomstig van 39 gehackte accounts, waarbij de vroegste activiteit teruggaat tot 22 december 2024. Hoewel Google het grootste deel van de content inmiddels heeft verwijderd, onderstreept het bereik dat vóór de verwijdering werd bereikt de effectiviteit van de distributiemethode.
Geavanceerde levering van lading via Kidkadi
Een waargenomen variant van GachiLoader gebruikt een secundaire malwarecomponent genaamd Kidkadi, die een onconventionele injectiemethode voor Portable Executables (PE) introduceert. In plaats van direct een kwaadaardig binair bestand te laden, laadt de techniek eerst een legitieme DLL en maakt vervolgens gebruik van Vectored Exception Handling (VEH) om deze dynamisch te vervangen door een kwaadaardige payload tijdens de uitvoering. Deze on-the-fly vervanging stelt de malware in staat om op te gaan in legitieme processen.
Mogelijkheid tot meerdere ladingen en stealth-operaties
Naast Kidkadi is GachiLoader ook gebruikt voor het verspreiden van de Rhadamanthys-informatiediefstaltool, wat de flexibiliteit ervan als malwareplatform aantoont. Net als andere moderne loaders is het ontworpen om extra payloads op te halen en te implementeren, terwijl het tegelijkertijd uitgebreide anti-analyse- en ontwijkingscontroles uitvoert om detectie en forensisch onderzoek te bemoeilijken.
Privilege-escalatie door middel van social engineering
De loader controleert of hij met beheerdersrechten wordt uitgevoerd door het commando `net session` uit te voeren. Als deze test mislukt, probeert hij zichzelf opnieuw te starten met verhoogde rechten, waarna een dialoogvenster van Gebruikersaccountbeheer (UAC) verschijnt. Omdat de malware vaak is ingebed in nep-installatieprogramma's die zich voordoen als populaire software, vergelijkbaar met technieken die eerder bij CountLoader zijn waargenomen, is de kans groot dat slachtoffers het verzoek goedkeuren en onbewust verhoogde toegang verlenen.
Het neutraliseren van Microsoft Defender
In de laatste uitvoeringsfase probeert GachiLoader actief de ingebouwde beveiligingsmechanismen te verzwakken. Het richt zich op SecHealthUI.exe, een proces dat is gekoppeld aan Microsoft Defender, en beëindigt dit. Vervolgens configureert het uitsluitingsregels om te voorkomen dat specifieke mappen, zoals gebruikersmappen, ProgramData en Windows-systeempaden, worden gescand. Dit zorgt ervoor dat alle voorbereide of gedownloade payloads onopgemerkt blijven.
Einduitvoeringspad van de payload
Zodra de verdediging is uitgeschakeld, haalt GachiLoader de uiteindelijke malware rechtstreeks van een externe server op of roept een hulploader aan genaamd kidkadi.node. Deze component maakt opnieuw misbruik van Vectored Exception Handling om de primaire kwaadaardige payload te laden, waarmee de consistentie met het op stealth gerichte ontwerp van de loader behouden blijft.
Implicaties voor verdedigers en onderzoekers
De dader achter GachiLoader toont een diepgaand begrip van de interne werking van Windows en heeft een bekende injectietechniek succesvol doorontwikkeld tot een meer ontwijkende variant. Deze ontwikkeling benadrukt het belang voor verdedigers en malware-analisten om de ontwikkelingen in PE-injectiemethoden en loader-gebaseerde architecturen continu te volgen, aangezien cybercriminelen hun tactieken voortdurend verfijnen om moderne beveiligingsmaatregelen te omzeilen.
