GachiLoader-skadlig programvara
Säkerhetsforskare har upptäckt en nyligen identifierad JavaScript-baserad laddare av skadlig kod, känd som GachiLoader, utvecklad med Node.js och skyddad av kraftig obfuskation. Denna skadliga kod sprids aktivt genom det så kallade YouTube Ghost Network, en samling kapade YouTube-konton som används för att distribuera skadligt innehåll till intet ont anande användare.
Innehållsförteckning
Missbruk av YouTube för distribution av skadlig programvara
Kampanjen utnyttjar komprometterade skaparkonton för att ladda upp beväpnade videor som omdirigerar tittare till nedladdningar innehållande skadlig programvara. Ungefär 100 videor kopplade till denna operation har identifierats, vilka tillsammans har cirka 220 000 visningar. Dessa uppladdningar kommer från 39 konton som utsatts för intrång, med den tidigaste aktiviteten spårbar tillbaka till den 22 december 2024. Även om Google sedan dess har tagit bort det mesta av innehållet, understryker den räckvidd som uppnåddes före borttagningen distributionsmetodens effektivitet.
Avancerad nyttolastleverans via Kidkadi
En observerad variant av GachiLoader använder en sekundär skadlig komponent vid namn Kidkadi, som introducerar en okonventionell Portable Executable (PE) injektionsmetod. Istället för att direkt ladda en skadlig binärfil laddar tekniken initialt en legitim DLL och utnyttjar sedan Vectored Exception Handling (VEH) för att dynamiskt ersätta den med en skadlig nyttolast under körning. Denna on-the-fly-ersättning gör att skadlig programvaran kan blandas in i legitima processer.
Flernyttolaster och smygoperationer
Utöver Kidkadi har GachiLoader också dokumenterats leverera informationsstjälaren Rhadamanthys, vilket visar dess flexibilitet som en plattform för leverans av skadlig kod. Liksom andra moderna laddare är den utformad för att hämta och driftsätta ytterligare nyttolaster samtidigt som den utför omfattande antianalys- och undvikande kontroller för att hindra upptäckt och forensisk utredning.
Privilegieupptrappning genom social ingenjörskonst
Laddaren kontrollerar om den körs med administratörsbehörighet genom att köra kommandot net session. Om det här testet misslyckas försöker den starta om sig själv med utökade rättigheter, vilket visar en dialogruta för användarkontokontroll (UAC). Eftersom skadlig programvara ofta är inbäddad i falska installationsprogram som utger sig för att vara populär programvara, liknande tekniker som tidigare setts med CountLoader, är det troligt att offren godkänner begäran och omedvetet beviljar utökad åtkomst.
Neutralisera Microsoft Defender
I sitt sista exekveringsstadium försöker GachiLoader aktivt försvaga inbyggda säkerhetsförsvar. Den riktar in sig på och avslutar SecHealthUI.exe, en process länkad till Microsoft Defender, och konfigurerar sedan undantagsregler för att förhindra skanning av specifika kataloger som användarmappar, ProgramData och Windows-systemsökvägar. Detta säkerställer att alla mellanlagrade eller nedladdade nyttolaster förblir oupptäckta.
Slutlig nyttolastens exekveringsväg
När försvaren har undertryckts hämtar GachiLoader antingen den slutliga skadliga programvaran direkt från en fjärrserver eller anropar en hjälpladdare som heter kidkadi.node. Denna komponent missbrukar återigen Vectored Exception Handling för att ladda den primära skadliga nyttolasten, samtidigt som den bibehåller konsekvensen med laddarens smygfokuserade design.
Implikationer för försvarare och forskare
Aktören bakom GachiLoader visar en djup förståelse för Windows interna funktioner och har framgångsrikt utvecklat en känd injektionsteknik till en mer undvikande variant. Denna utveckling förstärker vikten för försvarare och malwareanalytiker att kontinuerligt följa framsteg inom PE-injektionsmetoder och loader-baserade arkitekturer, eftersom hotaktörer ständigt förfinar sina taktiker för att kringgå moderna säkerhetskontroller.
