Logiciel malveillant GachiLoader
Des chercheurs en sécurité ont découvert un nouveau chargeur de logiciels malveillants basé sur JavaScript, baptisé GachiLoader. Développé avec Node.js et protégé par un système d'obfuscation complexe, ce logiciel malveillant se propage activement via le réseau « YouTube Ghost Network », un ensemble de comptes YouTube piratés et réutilisés pour diffuser du contenu malveillant auprès d'utilisateurs non avertis.
Table des matières
Utilisation abusive de YouTube pour la distribution de logiciels malveillants
Cette campagne exploite des comptes de créateurs compromis pour diffuser des vidéos piégées qui redirigent les spectateurs vers des téléchargements contenant des logiciels malveillants. Une centaine de vidéos liées à cette opération ont été identifiées, totalisant environ 220 000 vues. Ces vidéos proviennent de 39 comptes piratés, la première activité remontant au 22 décembre 2024. Bien que Google ait depuis supprimé la majeure partie du contenu, la portée atteinte avant leur retrait souligne l'efficacité de cette méthode de diffusion.
Livraison avancée de charge utile via Kidkadi
Une variante observée de GachiLoader déploie un composant malveillant secondaire nommé Kidkadi, qui introduit une méthode d'injection d'exécutable portable (PE) non conventionnelle. Au lieu de charger directement un binaire malveillant, cette technique charge initialement une DLL légitime, puis exploite la gestion des exceptions vectorisées (VEH) pour la remplacer dynamiquement par une charge utile malveillante lors de l'exécution. Cette substitution à la volée permet au logiciel malveillant de se fondre dans les processus légitimes.
Capacité de charge utile multiple et opérations furtives
Outre Kidkadi, GachiLoader a également été documenté comme vecteur du voleur d'informations Rhadamanthys, démontrant ainsi sa flexibilité en tant que plateforme de diffusion de logiciels malveillants. À l'instar d'autres chargeurs modernes, il est conçu pour récupérer et déployer des charges utiles supplémentaires tout en effectuant simultanément des contrôles anti-analyse et d'évasion poussés afin d'entraver sa détection et les investigations numériques.
Élévation des privilèges par l’ingénierie sociale
Le programme d'exécution vérifie s'il s'exécute avec des privilèges d'administrateur en lançant la commande « net session ». Si ce test échoue, il tente de se relancer avec des droits élevés, ce qui provoque l'affichage d'une boîte de dialogue Contrôle de compte d'utilisateur (UAC). Comme ce logiciel malveillant est généralement intégré à de faux installateurs se faisant passer pour des logiciels populaires, à l'instar des techniques précédemment utilisées par CountLoader, les victimes sont susceptibles d'approuver la demande, accordant ainsi, à leur insu, un accès étendu.
Neutraliser Microsoft Defender
Lors de sa dernière phase d'exécution, GachiLoader s'efforce activement d'affaiblir les défenses de sécurité intégrées. Il cible et arrête SecHealthUI.exe, un processus lié à Microsoft Defender, puis configure des règles d'exclusion pour empêcher l'analyse de certains répertoires, tels que les dossiers utilisateur, ProgramData et les chemins système Windows. Ceci garantit que les charges utiles stockées ou téléchargées restent indétectables.
Chemin d’exécution final de la charge utile
Une fois les défenses neutralisées, GachiLoader récupère le logiciel malveillant final directement depuis un serveur distant ou invoque un chargeur auxiliaire nommé kidkadi.node. Ce composant exploite à nouveau la gestion vectorielle des exceptions pour charger la charge utile malveillante principale, conformément à la conception furtive du chargeur.
Implications pour les défenseurs et les chercheurs
L'auteur de GachiLoader démontre une connaissance approfondie du fonctionnement interne de Windows et a réussi à faire évoluer une technique d'injection connue vers une variante plus furtive. Cette évolution souligne l'importance, pour les équipes de défense et d'analyse de logiciels malveillants, de suivre en permanence les progrès des méthodes d'injection PE et des architectures basées sur les chargeurs, car les acteurs malveillants perfectionnent sans cesse leurs tactiques pour contourner les mesures de sécurité modernes.
