Le malware GachiLoader

Quel type de logiciel malveillant est GachiLoader ?

GachiLoader est un programme malveillant écrit en Node.js. Ce logiciel malveillant est classé comme un chargeur : il est conçu pour télécharger/installer des programmes malveillants supplémentaires sur les systèmes compromis. GachiLoader a été distribué dans le cadre d'une campagne exploitant des comptes YouTube compromis. Dans cette campagne, la charge utile finale était le voleur Rhadamanthys.

Détections du malware GachiLoader sur VirusTotal

Présentation du logiciel malveillant GachiLoader

GachiLoader est un chargeur, un type de logiciel malveillant qui provoque des infections en chaîne (c'est-à-dire qui télécharge/installe des logiciels ou composants malveillants supplémentaires).

Ce programme est hautement obscurci. GachiLoader utilise plusieurs mécanismes anti-analyse et anti-détection, tels que l'examen des détails matériels (taille de la mémoire vive, nombre de cœurs du CPU), l'inspection des processus en cours d'exécution pour ceux associés aux machines virtuelles et aux outils d'analyse, la vérification des noms d'utilisateur et des noms d'hôte par rapport à une liste d'exclusion codée en dur, et la désactivation de l'antivirus Microsoft Defender.

Le chargeur recueille des informations sur la machine infectée, notamment la version du système d'exploitation et le logiciel antivirus installé. GachiLoader vérifie également s'il s'exécute avec des privilèges d'administrateur. Si ce n'est pas le cas, le logiciel malveillant exécute une commande PowerShell qui affiche à la victime une invite lui demandant d'exécuter le logiciel avec des privilèges d'administrateur.

Dans l'une des campagnes GachiLoader connues, l'objectif était d'infecter les appareils avec le voleur Rhadamanthys. Cependant, la manière dont cette charge utile finale était livrée différait. Dans certains cas, GachiLoader obtenait le voleur à partir d'une URL distante. Dans d'autres, il s'appuyait sur Kidkadi, un chargeur de deuxième étape utilisant une nouvelle technique d'injection PE (Portable Executable), qui introduisait Rhadamanthys dans les systèmes.

N'oubliez pas que GachiLoader peut également être utilisé pour propager d'autres programmes malveillants. En théorie, un chargeur peut provoquer pratiquement n'importe quel type d'infection : chevaux de Troie, ransomware, mineurs de cryptomonnaie et autres logiciels malveillants. Dans la pratique, les chargeurs fonctionnent généralement dans certaines limites ou selon certaines spécifications.

Il convient de mentionner que les développeurs de logiciels malveillants améliorent souvent leurs logiciels et leurs méthodologies. Par conséquent, les futures versions potentielles de GachiLoader pourraient présenter des fonctionnalités supplémentaires ou différentes.

En résumé, la présence de programmes tels que GachiLoader sur les appareils peut entraîner de multiples infections du système, de graves problèmes de confidentialité, des pertes financières et des usurpations d'identité.

Résumé de la menace :
Nom	GachiLoader virus
Type de menace	Cheval de Troie, chargeur.
Noms de détection	Avast (Win64:MalwareX-gen [Misc]), Combo Cleaner (QD:Trojan.GenericKDQ.50B98D05DC), ESET-NOD32 (JS/Agent.TIW Trojan), Kaspersky (UDS:Trojan-PSW.Win64. Stealer.aptg), Microsoft (Trojan:Win32/Egairtigado!rfn), Liste complète des détections (VirusTotal)
Charge utile	Rhadamanthys
Symptômes	Les chevaux de Troie sont conçus pour s'infiltrer discrètement dans l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée.
Méthodes de distribution	Pièces jointes infectées, publicités en ligne malveillantes, ingénierie sociale, logiciels « piratés ».
Dommages	Mot de passe et informations bancaires volés, usurpation d'identité, ordinateur de la victime ajouté à un botnet.
Suppression des maliciels (Windows)	Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo Cleaner Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Exemples de logiciels malveillants de type chargeur

Nous avons écrit de nombreux articles sur les programmes malveillants; CastleLoader, Olymp et BaoLoader ne sont que quelques-uns de nos derniers articles sur les chargeurs. Ces logiciels malveillants peuvent causer différents types d'infections, allant des voleurs de données aux ransomwares.

Il convient de souligner que, quel que soit le mode de fonctionnement d'un logiciel malveillant, sa présence sur un système menace l'intégrité de l'appareil et la sécurité de l'utilisateur. Par conséquent, toutes les menaces doivent être éliminées immédiatement dès leur détection.

Comment GachiLoader s'est-il infiltré dans mon ordinateur ?

GachiLoader s'est propagé grâce à une campagne à grande échelle utilisant des comptes YouTube piratés. Cette campagne comprenait 39 comptes compromis et plus de 100 vidéos, qui ont totalisé plus de 200 000 vues. Les vidéos portaient principalement sur des logiciels « piratés », des astuces/hacks pour jeux vidéo, etc.

Ce contenu trompeur incitait les utilisateurs à télécharger le logiciel malveillant à partir de sites d'hébergement de fichiers externes. Les descriptions des vidéos fournissaient des instructions supplémentaires, telles que le mot de passe pour les archives protégées par mot de passe contenant GachiLoader ou les étapes à suivre pour désactiver l'antivirus Microsoft Defender. La plupart des vidéos connues ont depuis été signalées et supprimées.

GachiLoader pourrait se propager à l'aide d'autres techniques. Le phishing et les tactiques d'ingénierie sociale sont couramment utilisés pour propager les logiciels malveillants. En général, les programmes malveillants sont dissimulés dans des fichiers logiciels/multimédias ordinaires ou associés à ceux-ci. Il peut s'agir d'archives (ZIP, RAR, etc.), de fichiers exécutables (EXE, RUN, etc.), de documents (PDF, Microsoft Office, Microsoft OneNote, etc.), de JavaScript, etc.

Les méthodes de distribution de logiciels malveillants les plus courantes sont les suivantes : programmes/médias piratés, outils d'activation illégaux (« cracks »), téléchargements furtifs (discrètes/trompeuses), sources de téléchargement non fiables (par exemple, logiciels gratuits et sites web tiers, réseaux de partage peer-to-peer, etc.), pièces jointes ou liens malveillants dans les spams (par exemple, e-mails, messages privés/messages directs, publications sur les réseaux sociaux, etc.), les escroqueries en ligne, la publicité malveillante et les fausses mises à jour.

De plus, certains programmes malveillants peuvent se propager automatiquement via les réseaux locaux et les périphériques de stockage amovibles (par exemple, les disques durs externes, les clés USB, etc.).

Comment éviter l'installation de logiciels malveillants ?

La prudence est essentielle pour garantir la sécurité des appareils et des utilisateurs. Par conséquent, téléchargez uniquement à partir de canaux officiels et vérifiés. Activez et mettez à jour les programmes à l'aide des fonctions/outils fournis par les développeurs authentiques, car ceux obtenus auprès de tiers peuvent contenir des logiciels malveillants.

De plus, soyez vigilant lorsque vous naviguez sur Internet, car celui-ci regorge de contenus trompeurs et dangereux. Soyez prudent avec les e-mails et autres messages que vous recevez ; n'ouvrez pas les pièces jointes ou les liens présents dans des e-mails douteux/non pertinents, car ils peuvent être virulents.

Il est primordial d'installer un antivirus réputé et de le maintenir à jour. Un logiciel de sécurité doit être utilisé pour effectuer régulièrement des analyses du système et supprimer les menaces et les problèmes détectés. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows afin d'éliminer automatiquement les logiciels malveillants infiltrés.

Capture d'écran de vidéos YouTube trompeuses utilisées pour promouvoir GachiLoader (source de l'image – Check Point Research) :

Malware GachiLoader faisant la promotion de vidéos YouTube

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

TÉLÉCHARGEZ Combo Cleaner

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

Qu'est-ce que GachiLoader ?
ÉTAPE 1. Suppression manuelle du logiciel malveillant GachiLoader.
ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer manuellement un logiciel malveillant ?

La suppression manuelle des logiciels malveillants est une tâche complexe. Il est généralement préférable de laisser les programmes antivirus ou anti-malware s'en charger automatiquement. Pour supprimer ce logiciel malveillant, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer manuellement un logiciel malveillant, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Processus malveillant en cours d'exécution dans le Gestionnaire des tâches

Si vous avez vérifié la liste des programmes en cours d'exécution sur votre ordinateur, par exemple à l'aide du gestionnaire de tâches, et identifié un programme qui semble suspect, vous devez suivre les étapes suivantes :

étape de suppression manuelle des logiciels malveillants 1 Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le registre et les emplacements du système de fichiers :

Apparence de l'application Autoruns

étape de suppression manuelle des logiciels malveillants 2 Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, puis sur Arrêter, puis sur Redémarrer, puis sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec réseau dans la liste.

Exécutez Windows 7 ou Windows XP en mode sans échec avec réseau

Vidéo montrant comment démarrer Windows 7 en « mode sans échec avec réseau » :

Utilisateurs Windows 8 : démarrez Windows 8 en mode sans échec avec réseau. Accédez à l'écran d'accueil de Windows 8, tapez « Avancé », puis sélectionnez « Paramètres » dans les résultats de recherche. Cliquez sur « Options de démarrage avancées », puis sélectionnez « Démarrage avancé » dans la fenêtre « Paramètres généraux du PC » qui s'ouvre.

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur redémarrera alors dans le « Menu des options de démarrage avancées ». Cliquez sur le bouton « Dépannage », puis sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera et affichera l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec réseau.

Exécuter Windows 8 en mode sans échec avec réseau

Vidéo montrant comment démarrer Windows 8 en « mode sans échec avec réseau » :

Utilisateurs Windows 10 : cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu qui s'ouvre, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » de votre clavier enfoncée. Dans la fenêtre « Choisissez une option », cliquez sur « Dépannage », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, appuyez sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec réseau.

Exécuter Windows 10 en mode sans échec avec réseau

Vidéo montrant comment démarrer Windows 10 en « mode sans échec avec réseau » :

étape de suppression manuelle des logiciels malveillants 3 Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Extrayez l'archive Autoruns.zip et exécutez l'application Autoruns.exe

étape de suppression manuelle des logiciels malveillants 4 Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Actualiser les résultats de l'application Autoruns

étape de suppression manuelle des logiciels malveillants 5 Consultez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin d'accès complet et son nom. Notez que certains logiciels malveillants masquent les noms des processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et sélectionnez « Supprimer ».

Supprimer les logiciels malveillants dans Autoruns

Après avoir supprimé le logiciel malveillant à l'aide de l'application Autoruns (ceci garantit que le logiciel malveillant ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du logiciel malveillant sur votre ordinateur. Veillez à activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom du fichier du logiciel malveillant, veillez à le supprimer.

Rechercher les logiciels malveillants et les supprimer

Redémarrez votre ordinateur en mode normal. Ces étapes devraient permettre de supprimer tous les logiciels malveillants de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne disposez pas de ces compétences, confiez la suppression des logiciels malveillants à des programmes antivirus et anti-malware.

Ces étapes peuvent ne pas fonctionner avec les infections par des logiciels malveillants avancés. Comme toujours, il vaut mieux prévenir l'infection que d'essayer de supprimer les logiciels malveillants par la suite. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt d'infections par des logiciels malveillants, nous vous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le malware GachiLoader, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

La suppression des logiciels malveillants nécessite rarement un formatage.

Quels sont les principaux problèmes que peut causer le malware GachiLoader ?

Les menaces liées à une infection dépendent des capacités du logiciel malveillant et du mode opératoire des cybercriminels. GachiLoader est conçu pour provoquer des infections en chaîne et a été utilisé pour infiltrer des logiciels de vol de données dans des appareils. Par conséquent, sa présence peut entraîner de multiples infections du système pouvant conduire à de graves problèmes de confidentialité, à des pertes financières et à des usurpations d'identité.

Quel est l'objectif du logiciel malveillant GachiLoader ?

Le gain financier est la principale motivation derrière les attaques malveillantes. Parmi les autres motivations courantes, on peut citer : les attaquants cherchant à s'amuser ou à se venger personnellement, la perturbation de processus (par exemple, sites web, services, entreprises, organisations, etc.), le hacktivisme et les motivations politiques/géopolitiques.

Comment le logiciel malveillant GachiLoader s'est-il infiltré dans mon ordinateur ?

GachiLoader s'est propagé grâce à une campagne utilisant des comptes YouTube piratés. D'autres méthodes de distribution sont possibles. En général, les logiciels malveillants se propagent via des chevaux de Troie, des téléchargements invisibles, des courriels/messages indésirables, des publicités malveillantes, des escroqueries en ligne, des sources de téléchargement douteuses (par exemple, des sites de logiciels gratuits et tiers, des réseaux de partage P2P, etc.), des logiciels/médias piratés, des outils d'activation illégaux (« cracks ») et de fausses mises à jour. Certains programmes malveillants peuvent se propager automatiquement via les réseaux locaux et les périphériques de stockage amovibles.

Combo Cleaner me protégera-t-il contre les logiciels malveillants ?

Combo Cleaner est conçu pour analyser les ordinateurs et supprimer toutes sortes de menaces. Il est capable de détecter et d'éliminer la plupart des infections malveillantes connues. N'oubliez pas qu'il est essentiel d'effectuer une analyse complète du système, car les programmes malveillants hautement sophistiqués ont tendance à se cacher profondément dans les systèmes.