Check Pointの研究者は、いわゆるYouTube Ghost Networkとして知られる新たなキャンペーンを発見した。これは、ゲームチートや海賊版ソフトに偽装したマルウェアを配布するために使われる、乗っ取られたYouTubeアカウントのネットワークである。この作戦の中核には、異例のNode.jsベースのローダーと、悪意あるコードを正規のシステムライブラリになりすませることを可能にする、これまで文書化されていなかったWindowsのインジェクション手法がある。
感染チェーンはおなじみのパターンに従う。攻撃者はYouTubeアカウントを乗っ取り、チートや「クラック」を宣伝する動画を公開する。動画の説明欄では、視聴者に対してソフトウェアが入っているとされるアーカイブをダウンロードするよう促し、パスワードを提示し、さらにWindows Defenderを無効化するよう強く勧める。研究者によれば、このような動画が100本以上確認され、合計で約22万回の視聴を集めていた。このキャンペーンは早ければ2024年12月に始まり、YouTubeへの通報を受けて一部の動画が削除されるまで、9か月以上にわたり継続した。それでも運用者は、他の侵害されたアカウントを通じて新しいコンテンツのアップロードを続けている。
主要ペイロードの配布は、GachiLoaderと呼ばれるカスタムローダーに依存している。JavaScriptで書かれ、Node.jsランタイムを埋め込むnexeプロジェクトを用いて実行ファイル化されているため、このローダーは大きなファイルとして見え、時には90MBに達することもある。このサイズは、一般的なインストーラーに似せて紛れ込むのに役立つ。しかし内部では、コードは強く難読化されており、サンドボックスや仮想マシンを検出するためのチェックが多数組み込まれている。利用可能なメモリ、CPUコア数、ユーザー名とホスト名、実行中プロセス、さらにはWMIを介してディスクやGPUのモデルまで調査する。
ローダーが解析環境で動作していると判断すると、LinkedInやTwitterなどの正規サイトに対してHTTPリクエストを延々と発行し続けるだけで停止する。実機では、GachiLoaderは標準的なUACプロンプトを通じて権限昇格を試みる。ユーザーは正規ソフトをインストールしていると思い込んでいるため、しばしば成功する。昇格後、マルウェアは重要なディレクトリやファイル拡張子に対する除外設定を追加し、Windowsの防御を弱体化させる。
その後の段階はローダーの亜種によって異なる。あるシナリオでは、GachiLoaderがC2(コマンド&コントロール)サーバーに接続してシステム情報を送信し、次段階へのリンクを受け取る。次段階はRhadamanthys情報窃取型マルウェアを含む実行ファイルで、KeePassやGoogle Driveなどの人気アプリに偽装されている。別の亜種では、ローダーがkidkadi.nodeという追加モジュールをドロップし、その中に最終的な悪性ペイロードが埋め込まれている。
このモジュールは特に注目に値した。研究者がVectored Overloading(ベクタード・オーバーローディング)と呼ぶ新しいPEインジェクション手法を実装しており、WindowsのVectored Exception Handling(ベクタード例外処理)機構を悪用する。要するに、ローダーは正規DLLに「バインド」された悪性実行ファイルのインメモリイメージを作成し、ハードウェアブレークポイントと例外の横取りを用いてシステム関数の実行を乗っ取る。Windowsはamsi.dllのような無害なライブラリを読み込んでいると信じる一方で、実際にはメモリ上から直接悪性コードを実行してしまう。この手法は検知を困難にし、初期化処理の一部をWindowsのシステムローダー自体に委ねることにもなる。
報告書の著者によれば、このキャンペーンは、脅威アクターが防御を回避するためにNode.jsのような非従来型プラットフォームをますます活用し、Windowsの内部構造の深部にまで踏み込んでいることを鮮明に示している。ユーザーにとっての教訓は変わらない。「無料」のチート、トレーナー、クラック版ソフトのダウンロードの誘いは、依然として最も確実な感染経路の一つであり、YouTubeのような人気プラットフォームに置かれた暗黙の信頼が、犯罪目的で積極的に悪用されている。
