Malvér GachiLoader
Bezpečnostní výskumníci odhalili novo identifikovaný zavádzač malvéru založený na JavaScripte známy ako GachiLoader, vyvinutý pomocou Node.js a chránený silným obfuskačným systémom. Tento malvér sa aktívne šíri prostredníctvom takzvanej siete YouTube Ghost Network, čo je súbor unesených účtov YouTube, ktoré sa používajú na distribúciu škodlivého obsahu nič netušiacim používateľom.
Obsah
Zneužívanie služby YouTube na šírenie škodlivého softvéru
Kampaň využíva napadnuté účty tvorcov na nahrávanie videí s označením „zbrane“, ktoré presmerujú divákov na súbory na stiahnutie s obsahom malvéru. Bolo identifikovaných približne 100 videí spojených s touto operáciou, ktoré spolu získali približne 220 000 zhliadnutí. Tieto nahrané videá pochádzajú z 39 napadnutých účtov, pričom najstaršia aktivita siaha až do 22. decembra 2024. Hoci Google odvtedy odstránil väčšinu obsahu, dosah dosiahnutý pred jeho odstránením podčiarkuje účinnosť metódy distribúcie.
Pokročilé doručenie užitočného nákladu cez Kidkadi
Jeden pozorovaný variant GachiLoaderu nasadzuje sekundárny komponent malvéru s názvom Kidkadi, ktorý zavádza nekonvenčný prístup k vkladaniu prenosných spustiteľných súborov (PE). Namiesto priameho načítania škodlivého binárneho súboru táto technika najprv načíta legitímnu knižnicu DLL a potom využije vektorovú manipuláciu s výnimkami (VEH) na jej dynamické nahradenie škodlivým dátovým zaťažením počas behu. Táto substitúcia za behu umožňuje malvéru splynúť s legitímnymi procesmi.
Schopnosť viacnásobného užitočného zaťaženia a nenápadné operácie
Okrem Kidkadi bol zdokumentovaný aj GachiLoader, ktorý dodáva vírusový program Rhadamanthys, čím demonštruje svoju flexibilitu ako platformy na doručovanie škodlivého softvéru. Rovnako ako iné moderné zavádzače, aj tento je navrhnutý tak, aby načítaval a nasadzoval ďalšie užitočné zaťaženia a zároveň vykonával rozsiahle antianalytické a únikové kontroly, aby sa sťažila detekcia a forenzné vyšetrovanie.
Zvyšovanie privilégií prostredníctvom sociálneho inžinierstva
Zavádzač skontroluje, či sa spúšťa s oprávneniami správcu, spustením príkazu net session. Ak tento test zlyhá, pokúsi sa reštartovať so zvýšenými oprávneniami, čím sa zobrazí dialógové okno Kontrola používateľských kont (UAC). Keďže škodlivý softvér je bežne vložený do falošných inštalátorov, ktoré sa vydávajú za populárny softvér, podobne ako techniky, ktoré sa predtým vyskytli pri CountLoaderi, obete pravdepodobne žiadosť schvália a nevedomky udelia zvýšený prístup.
Neutralizácia programu Microsoft Defender
V záverečnej fáze vykonávania sa GachiLoader aktívne pokúša oslabiť vstavané bezpečnostné mechanizmy. Zameriava sa na SecHealthUI.exe, proces prepojený s programom Microsoft Defender, a potom nakonfiguruje pravidlá vylúčenia, aby zabránil skenovaniu konkrétnych adresárov, ako sú napríklad používateľské priečinky, ProgramData a systémové cesty systému Windows. Tým sa zabezpečí, že všetky pripravené alebo stiahnuté dáta zostanú nezistené.
Finálna cesta vykonania užitočného zaťaženia
Po potlačení obrany GachiLoader buď načíta finálny malvér priamo zo vzdialeného servera, alebo spustí pomocný zavádzač s názvom kidkadi.node. Tento komponent opäť zneužíva vektorovú manipuláciu s výnimkami na načítanie primárneho škodlivého obsahu, čím zachováva konzistenciu s dizajnom zavádzača zameraným na nenápadnosť.
Dôsledky pre obhajcov a výskumníkov
Tvorca GachiLoader preukazuje hlboké pochopenie vnútorných funkcií Windowsu a úspešne vyvinul známu techniku vkladania škodlivého softvéru do podoby obchádzavejšieho variantu. Tento vývoj zdôrazňuje dôležitosť neustáleho sledovania pokroku v metódach vkladania PE škodlivého softvéru a architektúrach založených na zavádzačoch, keďže útočníci neustále zdokonaľujú svoje taktiky, aby obišli moderné bezpečnostné kontroly.
