Шкідливе програмне забезпечення GachiLoader
Дослідники безпеки виявили нещодавно ідентифікований завантажувач шкідливого програмного забезпечення на основі JavaScript, відомий як GachiLoader, розроблений за допомогою Node.js та захищений потужним обфускацією. Це шкідливе програмне забезпечення активно поширюється через так звану мережу YouTube Ghost Network – сукупність викрадених облікових записів YouTube, що використовуються для розповсюдження шкідливого контенту серед нічого не підозрюючих користувачів.
Зміст
Зловживання YouTube для розповсюдження шкідливого програмного забезпечення
Кампанія використовує зламані облікові записи авторів для завантаження відео, що перенаправляють глядачів на завантаження зі шкідливим програмним забезпеченням. Було виявлено приблизно 100 відео, пов’язаних із цією операцією, які разом зібрали близько 220 000 переглядів. Ці завантаження походять з 39 зламаних облікових записів, причому найперша активність датується 22 грудня 2024 року. Хоча Google з того часу видалив більшу частину контенту, охоплення, досягнуте до видалення, підкреслює ефективність методу розповсюдження.
Розширена доставка корисного навантаження через Kidkadi
Один із спостережуваних варіантів GachiLoader розгортає вторинний компонент шкідливого програмного забезпечення під назвою Kidkadi, який застосовує нетрадиційний підхід до ін'єкції портативних виконуваних файлів (PE). Замість безпосереднього завантаження шкідливого бінарного файлу, ця техніка спочатку завантажує легітимну DLL-бібліотеку, а потім використовує векторну обробку винятків (VEH) для динамічної заміни її шкідливим корисним навантаженням під час виконання. Така заміна на льоту дозволяє шкідливому програмному забезпеченню інтегруватися в легітимні процеси.
Можливість перенесення кількох корисних вантажів та малопомітні операції
Окрім Kidkadi, GachiLoader також задокументував розробку викрадача інформації Rhadamanthys, демонструючи його гнучкість як платформи для доставки шкідливого програмного забезпечення. Як і інші сучасні завантажувачі, він призначений для отримання та розгортання додаткових корисних навантажень, одночасно виконуючи розширений антианаліз та перевірки на ухилення, щоб перешкоджати виявленню та судово-медичному розслідуванню.
Ескалація привілеїв за допомогою соціальної інженерії
Завантажувач перевіряє, чи виконується він з правами адміністратора, виконавши команду net session. Якщо ця перевірка не вдається, він намагається перезапуститися з підвищеними правами, що призводить до відкриття діалогового вікна контролю облікових записів користувачів (UAC). Оскільки шкідливе програмне забезпечення зазвичай вбудоване в підроблені інсталятори, що видаються за популярне програмне забезпечення, подібно до методів, які раніше спостерігалися з CountLoader, жертви, ймовірно, схвалять запит, несвідомо надаючи підвищені права доступу.
Нейтралізація Microsoft Defender
На завершальному етапі виконання GachiLoader активно намагається послабити вбудовані засоби безпеки. Він атакує та завершує SecHealthUI.exe, процес, пов’язаний із Microsoft Defender, а потім налаштовує правила виключення, щоб запобігти скануванню певних каталогів, таких як папки користувачів, ProgramData та системні шляхи Windows. Це гарантує, що будь-які підготовлені або завантажені корисні навантаження залишаться непоміченими.
Фінальний шлях виконання корисного навантаження
Після придушення захисту GachiLoader або отримує остаточне шкідливе програмне забезпечення безпосередньо з віддаленого сервера, або викликає допоміжний завантажувач під назвою kidkadi.node. Цей компонент знову використовує обробку векторних винятків для завантаження основного шкідливого корисного навантаження, зберігаючи узгодженість із дизайном завантажувача, орієнтованим на прихованість.
Наслідки для захисників та дослідників
Виконавець GachiLoader демонструє глибоке розуміння внутрішньої роботи Windows та успішно перетворив відому техніку впровадження на більш ухильний варіант. Ця розробка підкреслює важливість для захисників та аналітиків шкідливого програмного забезпечення постійного відстеження досягнень у методах впровадження PE та архітектурах на основі завантажувачів, оскільки зловмисники постійно вдосконалюють свою тактику, щоб обійти сучасні засоби контролю безпеки.
