มัลแวร์ GachiLoader
นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์ตัวใหม่ที่ใช้ JavaScript ในชื่อ GachiLoader ซึ่งพัฒนาขึ้นโดยใช้ Node.js และได้รับการปกป้องด้วยการเข้ารหัสที่ซับซ้อน มัลแวร์นี้แพร่กระจายอย่างรวดเร็วผ่านเครือข่ายที่เรียกว่า YouTube Ghost Network ซึ่งเป็นกลุ่มบัญชี YouTube ที่ถูกแฮ็กและนำมาใช้ใหม่เพื่อเผยแพร่เนื้อหาที่เป็นอันตรายไปยังผู้ใช้ที่ไม่รู้ตัว
สารบัญ
การใช้ YouTube ในทางที่ผิดเพื่อเผยแพร่มัลแวร์
แคมเปญนี้ใช้ประโยชน์จากบัญชีผู้สร้างเนื้อหาที่ถูกแฮ็กเพื่ออัปโหลดวิดีโอที่มีมัลแวร์แฝง ซึ่งจะนำผู้ชมไปยังไฟล์ดาวน์โหลดที่มีมัลแวร์อยู่ มีการระบุวิดีโอที่เกี่ยวข้องกับการปฏิบัติการนี้ประมาณ 100 รายการ โดยมียอดเข้าชมรวมกันประมาณ 220,000 ครั้ง การอัปโหลดเหล่านี้มาจากบัญชีที่ถูกแฮ็ก 39 บัญชี โดยกิจกรรมที่เก่าที่สุดย้อนกลับไปถึงวันที่ 22 ธันวาคม 2024 แม้ว่า Google จะลบเนื้อหาส่วนใหญ่ไปแล้ว แต่การเข้าถึงที่เกิดขึ้นก่อนการลบนั้นเน้นย้ำถึงประสิทธิภาพของวิธีการเผยแพร่ดังกล่าว
การส่งข้อมูลขั้นสูงผ่าน Kidkadi
รูปแบบหนึ่งของ GachiLoader ที่พบเห็นได้นั้น มีส่วนประกอบมัลแวร์รองที่ชื่อว่า Kidkadi ซึ่งใช้วิธีการฉีดไฟล์ Portable Executable (PE) ที่ไม่ธรรมดา แทนที่จะโหลดไบนารีที่เป็นอันตรายโดยตรง เทคนิคนี้จะโหลด DLL ที่ถูกต้องก่อน จากนั้นใช้ Vectored Exception Handling (VEH) เพื่อแทนที่ด้วยเพย์โหลดที่เป็นอันตรายในระหว่างการทำงาน การแทนที่แบบทันทีทันใดนี้ทำให้มัลแวร์สามารถกลมกลืนไปกับกระบวนการทำงานที่ถูกต้องได้
ความสามารถในการบรรทุกสัมภาระหลายประเภทและการปฏิบัติการแบบพรางตัว
นอกเหนือจาก Kidkadi แล้ว GachiLoader ยังถูกบันทึกว่าใช้ในการส่งมัลแวร์ขโมยข้อมูล Rhadamanthys ซึ่งแสดงให้เห็นถึงความยืดหยุ่นในฐานะแพลตฟอร์มการส่งมัลแวร์ เช่นเดียวกับโปรแกรมโหลดเดอร์สมัยใหม่อื่นๆ มันถูกออกแบบมาเพื่อดึงและติดตั้งเพย์โหลดเพิ่มเติม ในขณะเดียวกันก็ทำการตรวจสอบการต่อต้านการวิเคราะห์และการหลบเลี่ยงอย่างครอบคลุม เพื่อขัดขวางการตรวจจับและการสืบสวนทางนิติวิทยาศาสตร์
การยกระดับสิทธิ์ผ่านวิศวกรรมทางสังคม
โปรแกรมโหลดจะตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ผู้ดูแลระบบหรือไม่โดยการเรียกใช้คำสั่ง net session หากการทดสอบนี้ล้มเหลว มันจะพยายามเริ่มต้นใหม่อีกครั้งด้วยสิทธิ์ที่สูงขึ้น ทำให้เกิดกล่องโต้ตอบ User Account Control (UAC) ขึ้น เนื่องจากมัลแวร์มักถูกฝังอยู่ในโปรแกรมติดตั้งปลอมที่ปลอมตัวเป็นซอฟต์แวร์ยอดนิยม คล้ายกับเทคนิคที่เคยพบใน CountLoader เหยื่อจึงมีแนวโน้มที่จะอนุมัติคำขอโดยไม่รู้ตัวว่าเป็นการให้สิทธิ์การเข้าถึงระดับสูง
การปิดใช้งาน Microsoft Defender
ในขั้นตอนการทำงานขั้นสุดท้าย GachiLoader จะพยายามลดทอนระบบป้องกันความปลอดภัยในตัว โดยจะกำหนดเป้าหมายและยุติการทำงานของ SecHealthUI.exe ซึ่งเป็นกระบวนการที่เชื่อมโยงกับ Microsoft Defender จากนั้นจะกำหนดค่ากฎการยกเว้นเพื่อป้องกันการสแกนไดเร็กทอรีเฉพาะ เช่น โฟลเดอร์ผู้ใช้ ProgramData และเส้นทางระบบของ Windows เพื่อให้แน่ใจว่าเพย์โหลดที่ถูกจัดเตรียมหรือดาวน์โหลดจะไม่ถูกตรวจพบ
เส้นทางการดำเนินการเพย์โหลดสุดท้าย
เมื่อระบบป้องกันถูกระงับ GachiLoader จะดึงมัลแวร์ตัวสุดท้ายจากเซิร์ฟเวอร์ระยะไกลโดยตรง หรือเรียกใช้ตัวโหลดเสริมที่เรียกว่า kidkadi.node ส่วนประกอบนี้ใช้ประโยชน์จาก Vectored Exception Handling อีกครั้งเพื่อโหลดเพย์โหลดที่เป็นอันตรายหลัก รักษาความสอดคล้องกับการออกแบบที่เน้นการซ่อนตัวของตัวโหลด
ผลกระทบต่อผู้พิทักษ์และนักวิจัย
ผู้พัฒนามัลแวร์ GachiLoader แสดงให้เห็นถึงความเข้าใจอย่างลึกซึ้งเกี่ยวกับระบบภายในของ Windows และได้พัฒนาเทคนิคการแทรกโค้ดที่รู้จักกันดีให้กลายเป็นรูปแบบที่หลบเลี่ยงการตรวจจับได้ดียิ่งขึ้น การพัฒนานี้ตอกย้ำความสำคัญสำหรับผู้ป้องกันและนักวิเคราะห์มัลแวร์ในการติดตามความก้าวหน้าของวิธีการแทรกโค้ด PE และสถาปัตยกรรมแบบใช้ตัวโหลดอย่างต่อเนื่อง เนื่องจากผู้ก่อภัยคุกคามได้ปรับปรุงกลยุทธ์ของตนอย่างต่อเนื่องเพื่อหลีกเลี่ยงการควบคุมความปลอดภัยสมัยใหม่
