Malware GachiLoader
Investigadores de seguridad han descubierto un cargador de malware basado en JavaScript recientemente identificado, conocido como GachiLoader, desarrollado con Node.js y protegido mediante una potente ofuscación. Este malware se propaga activamente a través de la llamada Red Fantasma de YouTube, un conjunto de cuentas de YouTube pirateadas y reutilizadas para distribuir contenido malicioso a usuarios desprevenidos.
Tabla de contenido
Abuso de YouTube para la distribución de malware
La campaña aprovecha las cuentas de creadores comprometidas para subir vídeos maliciosos que redirigen a los espectadores a descargas con malware. Se han identificado aproximadamente 100 vídeos vinculados a esta operación, que en total han atraído alrededor de 220.000 visualizaciones. Estas subidas se originaron en 39 cuentas comprometidas, y la actividad más temprana se remonta al 22 de diciembre de 2024. Si bien Google ha eliminado la mayor parte del contenido desde entonces, el alcance alcanzado antes de la retirada subraya la eficacia de este método de distribución.
Entrega avanzada de carga útil a través de Kidkadi
Una variante observada de GachiLoader implementa un componente de malware secundario llamado Kidkadi, que introduce un enfoque poco convencional de inyección de ejecutables portátiles (PE). En lugar de cargar directamente un binario malicioso, la técnica carga inicialmente una DLL legítima y luego explota el Manejo de Excepciones Vectorizadas (VEH) para reemplazarla dinámicamente con una carga maliciosa durante el tiempo de ejecución. Esta sustitución instantánea permite que el malware se integre con procesos legítimos.
Capacidad de carga múltiple y operaciones furtivas
Además de Kidkadi, también se ha documentado la distribución de GachiLoader del ladrón de información Rhadamanthys, lo que demuestra su flexibilidad como plataforma de distribución de malware. Al igual que otros cargadores modernos, está diseñado para obtener e implementar cargas útiles adicionales, a la vez que realiza exhaustivas comprobaciones de antianálisis y evasión para dificultar la detección y la investigación forense.
Escalada de privilegios mediante ingeniería social
El cargador comprueba si se ejecuta con privilegios administrativos ejecutando el comando net session. Si esta prueba falla, intenta reiniciarse con privilegios elevados, lo que abre un cuadro de diálogo de Control de Cuentas de Usuario (UAC). Dado que el malware suele integrarse en instaladores falsos que se hacen pasar por software popular, similar a técnicas observadas anteriormente con CountLoader, es probable que las víctimas aprueben la solicitud, otorgando acceso elevado sin saberlo.
Neutralización de Microsoft Defender
En su fase final de ejecución, GachiLoader intenta activamente debilitar las defensas de seguridad integradas. Ataca y finaliza SecHealthUI.exe, un proceso vinculado a Microsoft Defender, y luego configura reglas de exclusión para impedir el análisis de directorios específicos, como carpetas de usuario, ProgramData y rutas del sistema de Windows. Esto garantiza que las cargas útiles almacenadas o descargadas permanezcan sin detectar.
Ruta de ejecución de la carga útil final
Una vez suprimidas las defensas, GachiLoader recupera el malware final directamente desde un servidor remoto o invoca un cargador auxiliar llamado kidkadi.node. Este componente, a su vez, abusa del Manejo de Excepciones Vectorizado para cargar la carga maliciosa principal, manteniendo la coherencia con el diseño sigiloso del cargador.
Implicaciones para los defensores y los investigadores
El actor detrás de GachiLoader demuestra un profundo conocimiento del funcionamiento interno de Windows y ha logrado convertir una conocida técnica de inyección en una variante más evasiva. Este desarrollo refuerza la importancia de que los defensores y analistas de malware monitoreen continuamente los avances en los métodos de inyección de PE y las arquitecturas basadas en cargadores, ya que los actores de amenazas perfeccionan constantemente sus tácticas para eludir los controles de seguridad modernos.
