GachiLoader Malware
Sicherheitsforscher haben einen neu identifizierten, JavaScript-basierten Malware-Loader namens GachiLoader entdeckt. Dieser wurde mit Node.js entwickelt und ist durch umfangreiche Verschleierung geschützt. Die Malware wird aktiv über das sogenannte YouTube Ghost Network verbreitet, einem Netzwerk gehackter YouTube-Konten, die dazu missbraucht werden, schädliche Inhalte an ahnungslose Nutzer zu verteilen.
Inhaltsverzeichnis
Missbrauch von YouTube zur Verbreitung von Schadsoftware
Die Kampagne nutzt kompromittierte Konten von Content-Erstellern, um präparierte Videos hochzuladen, die Zuschauer zu mit Schadsoftware infizierten Downloads weiterleiten. Rund 100 Videos, die mit dieser Operation in Verbindung stehen, wurden identifiziert und erzielten zusammen etwa 220.000 Aufrufe. Diese Uploads stammen von 39 gehackten Konten, wobei die früheste Aktivität auf den 22. Dezember 2024 zurückgeführt werden kann. Obwohl Google den Großteil der Inhalte inzwischen entfernt hat, unterstreicht die vor der Löschung erzielte Reichweite die Effektivität dieser Verbreitungsmethode.
Erweiterte Nutzlastzustellung über Kidkadi
Eine beobachtete Variante von GachiLoader setzt eine sekundäre Malware-Komponente namens Kidkadi ein, die einen ungewöhnlichen Ansatz zur Einschleusung portabler ausführbarer Dateien (PE-Dateien) verwendet. Anstatt direkt eine schädliche Binärdatei zu laden, lädt diese Technik zunächst eine legitime DLL und nutzt dann die vektorisierte Ausnahmebehandlung (VEH), um diese zur Laufzeit dynamisch durch eine schädliche Nutzlast zu ersetzen. Dieser Austausch im laufenden Betrieb ermöglicht es der Malware, sich unauffällig in legitime Prozesse einzufügen.
Mehrfachnutzlastfähigkeit und Tarnkappenoperationen
Neben Kidkadi wurde auch dokumentiert, dass GachiLoader den Informationsdieb Rhadamanthys verbreitet, was seine Flexibilität als Malware-Verbreitungsplattform unterstreicht. Wie andere moderne Loader ist er darauf ausgelegt, zusätzliche Schadsoftware abzurufen und einzusetzen, während er gleichzeitig umfangreiche Anti-Analyse- und Ausweichprüfungen durchführt, um die Erkennung und forensische Untersuchung zu erschweren.
Privilegienausweitung durch Social Engineering
Der Loader prüft mithilfe des Befehls `net session`, ob er mit Administratorrechten ausgeführt wird. Schlägt dieser Test fehl, versucht er, sich mit erhöhten Rechten neu zu starten, was eine Benutzerkontensteuerungsabfrage (UAC) auslöst. Da die Schadsoftware häufig in gefälschten Installationsdateien eingebettet ist, die sich als gängige Software ausgeben – ähnlich wie bei CountLoader –, stimmen die Opfer der Anfrage wahrscheinlich zu und gewähren so unwissentlich erhöhte Zugriffsrechte.
Neutralisierung von Microsoft Defender
In seiner letzten Ausführungsphase versucht GachiLoader aktiv, die integrierten Sicherheitsvorkehrungen zu schwächen. Es zielt auf SecHealthUI.exe ab, einen mit Microsoft Defender verknüpften Prozess, und beendet ihn. Anschließend konfiguriert es Ausschlussregeln, um das Scannen bestimmter Verzeichnisse wie Benutzerordner, ProgramData und Windows-Systempfade zu verhindern. Dadurch wird sichergestellt, dass alle bereitgestellten oder heruntergeladenen Schadprogramme unentdeckt bleiben.
Letzter Ausführungspfad der Nutzlast
Sobald die Abwehrmechanismen unterdrückt sind, lädt GachiLoader die finale Schadsoftware entweder direkt von einem Remote-Server herunter oder ruft einen Hilfslader namens kidkadi.node auf. Diese Komponente nutzt erneut Vectored Exception Handling, um die primäre Schadsoftware zu laden und so die Konsistenz mit dem auf Tarnung ausgelegten Design des Laders zu wahren.
Auswirkungen für Verteidiger und Forscher
Der Akteur hinter GachiLoader beweist ein tiefes Verständnis der Windows-Interna und hat eine bekannte Einschleusungstechnik erfolgreich zu einer raffinierteren Variante weiterentwickelt. Diese Entwicklung unterstreicht, wie wichtig es für Sicherheitsexperten und Malware-Analysten ist, die Fortschritte bei PE-Einschleusungsmethoden und Loader-basierten Architekturen kontinuierlich zu verfolgen, da Angreifer ihre Taktiken ständig verfeinern, um moderne Sicherheitskontrollen zu umgehen.
