GachiLoader マルウェア
セキュリティ研究者らは、GachiLoaderと呼ばれるJavaScriptベースのマルウェアローダーを新たに発見しました。このローダーはNode.jsで開発され、高度な難読化が施されています。このマルウェアは、YouTubeゴーストネットワークと呼ばれる、乗っ取られたYouTubeアカウントを再利用して悪意のあるコンテンツを無防備なユーザーに配信するネットワークを通じて活発に拡散しています。
目次
YouTube を悪用したマルウェア配布
このキャンペーンでは、侵害されたクリエイターアカウントを利用して、視聴者をマルウェアに感染したダウンロードにリダイレクトする、武器化された動画をアップロードします。この活動に関連する動画は約100本特定されており、合計で約22万回の視聴回数を記録しています。これらのアップロードは、侵害を受けた39のアカウントから発信されており、最初の活動は2024年12月22日に遡ります。Googleはその後、コンテンツのほとんどを削除しましたが、削除前に達成されたリーチは、この配信方法の有効性を浮き彫りにしています。
Kidkadiによる高度なペイロード配信
GachiLoaderの亜種の一つは、Kidkadiと呼ばれる二次的なマルウェアコンポーネントを展開します。これは、従来とは異なるPortable Executable(PE)インジェクション手法を導入します。この手法では、悪意のあるバイナリを直接ロードするのではなく、まず正規のDLLをロードし、その後、Vectored Exception Handling(VEH)を利用して、実行時に悪意のあるペイロードに動的に置き換えます。このオンザフライ方式の置き換えにより、マルウェアは正規のプロセスに紛れ込むことができます。
マルチペイロード機能とステルス運用
Kidkadiに加え、GachiLoaderはRhadamanthys情報窃取マルウェアを配信するマルウェアとして記録されており、マルウェア配信プラットフォームとしての柔軟性を実証しています。他の最新のローダーと同様に、GachiLoaderは追加のペイロードを取得・展開すると同時に、広範な分析回避チェックと回避チェックを実行し、検出とフォレンジック調査を妨害するように設計されています。
ソーシャルエンジニアリングによる権限昇格
ローダーは、net sessionコマンドを実行して、管理者権限で実行されているかどうかを確認します。このテストに失敗した場合、昇格された権限で再起動を試み、ユーザーアカウント制御(UAC)ダイアログを表示します。このマルウェアは、CountLoaderで以前に確認された手法と同様に、一般的なソフトウェアを装った偽のインストーラーに埋め込まれていることが多いため、被害者は要求を承認し、知らないうちに昇格されたアクセスを許可してしまう可能性があります。
Microsoft Defenderの無効化
GachiLoaderは最終実行段階で、組み込みのセキュリティ防御を積極的に弱体化させようとします。Microsoft DefenderにリンクされたプロセスであるSecHealthUI.exeを標的として終了させ、ユーザーフォルダ、ProgramData、Windowsシステムパスなどの特定のディレクトリのスキャンをブロックする除外ルールを設定します。これにより、ステージングまたはダウンロードされたペイロードは検出されません。
最終ペイロード実行パス
防御が抑制されると、GachiLoaderは最終的なマルウェアをリモートサーバーから直接取得するか、kidkadi.nodeと呼ばれる補助ローダーを起動します。このコンポーネントは、ローダーのステルス性を重視した設計との一貫性を保ちながら、ベクトル例外処理を悪用して主要な悪意のあるペイロードをロードします。
擁護者と研究者への影響
GachiLoaderの背後にいる攻撃者は、Windowsの内部構造を深く理解しており、既知のインジェクション手法をより回避性の高い亜種へと進化させることに成功しました。脅威アクターは最新のセキュリティ対策を回避するために戦術を絶えず改良しているため、この展開は、防御側とマルウェアアナリストがPEインジェクション手法とローダーベースのアーキテクチャの進化を継続的に追跡することの重要性を改めて浮き彫りにしています。
