GachiLoaderの脅威がYouTube経由で拡散
Check Point Researchは、YouTubeの「Ghost Network」を悪用した巧妙なマルウェア拡散キャンペーンを明らかにしました。このキャンペーンでは、GachiLoaderと呼ばれる新型の難読化されたNode.jsベースのローダーが使用され、Rhadamanthysインフォスティーラー(情報窃取型マルウェア)を標的のシステムに送り込んでいます。2024年12月に始まったこのキャンペーンは、マルウェア配信の手口が進化していることを示しており、攻撃者が非伝統的なプログラミング言語やプラットフォームをどのように利用して適応しているかを浮き彫りにしています。
このキャンペーンは、39の侵害されたYouTubeアカウントを通じて100本以上の悪意のある動画を配布し、開始以来、累計約22万回の視聴数を記録しています。これらの動画は、ゲームのチート広告やクラックされたソフトウェアの提供を装い、視聴者をパスワード保護されたアーカイブファイル(マルウェアのペイロードを含む)のダウンロードへと誘い込んでいました。Check Pointの責任ある情報開示を受けて、ほとんどの動画はプラットフォームから削除されましたが、研究者たちは新たな侵害アカウントで新たなアップロードが発生する可能性を予測しています。
GachiLoaderの技術的特徴とアーキテクチャ
GachiLoaderは、Node.jsアプリケーションをスタンドアロンのバイナリにコンパイルする「nexe」パッカーを使用して、60~90メガバイトの自己完結型実行ファイルにバンドルされています。このサイズの大きさは、被害者に正規のソフトウェアパッケージであると信じ込ませ、疑念を抱かせないようにするためです。JavaScriptのソースコードは高度に難読化されており、手動での分析を困難にし、マルウェアが検出システムを回避できるようにしています。
Check Point Researchは、難読化されたNode.jsマルウェアの分析課題に対処するため、オープンソースのNode.jsトレーサーツールを開発しました。このツールは、マルウェアの動作を動的に分析し、アンチ分析メカニズムをバイパスすることで、手動での難読化作業を大幅に削減します。このツールは現在、セキュリティ研究コミュニティに提供されています。
高度なアンチ分析と防御回避機能
GachiLoaderは、包括的なアンチ分析機能を実装しています。これには、最低RAM容量(4GB)やCPUコア数(2以上)などのシステムリソースチェック、サンドボックス環境でよく使われるユーザー名、ホスト名、分析ツールとの比較が含まれます。また、Windows Management Instrumentation(WMI)を介してPowerShellベースのシステム列挙を実行し、ポートコネクタ、ディスクドライブの製造元、ビデオコントローラなどを照会して仮想マシン環境を特定します。
サンドボックスが検出されると、マルウェアは良性のWebサイトへのHTTP GETリクエストを送り続ける無限ループに陥り、実質的に実行を停止させます。防御回避のため、GachiLoaderはWindows DefenderのSecHealthUIプロセスを終了させ、C:\Users、C:\ProgramData、C:\Windows\パスに広範な除外設定を追加し、その後のペイロードの検出を防ぎます。
二種類のペイロード配信メカニズム
- 最初のバリアントは、独自の
X-Secretヘッダーを使用した認証済みHTTPリクエストを介して、リモートのコマンド&コントロール(C2)サーバーからペイロードを取得します。 - 二番目のバリアントは、Kidkadiという追加のローダーを展開します。このローダーは、これまで文書化されていなかった「Vectored Overloading」と呼ばれるPEインジェクション技術を実装しています。この技術は、ベクタリング例外ハンドラを悪用してWindowsローダーの動作を操作し、
NtOpenSectionやNtMapViewOfSectionなどのカーネル機能に対するハードウェアブレークポイントを使用して、正規のDLLセクションを悪意のあるペイロードに置き換えます。
分析されたすべてのサンプルは最終的に、悪意のあるC2インフラストラクチャにユーザー情報を引き出すように設計されたRhadamanthysインフォスティーラーを配信していました。GachiLoaderのサンプルには、運用上の回復力を高めるために複数の冗長なC2アドレスが含まれています。最終的なペイロードは、KeePass.exeやGoogleDrive.exeなどの正規のソフトウェアを模倣したランダムな名前の実行ファイルとしてダウンロードされ、VMProtectやThemidaなどの市販のパッカーで保護されています。
今後の脅威と対策
このキャンペーンは、不正なソフトウェアを非公式な配布チャネルを通じて入手しようとするユーザーを標的とする持続的な脅威の状況を示しています。これは、エンドポイントセキュリティソリューションの必要性と、クラックされたソフトウェアをダウンロードすることの危険性に対するユーザーの意識向上の重要性を再認識させるものです。