GuLoader IOCs - Part 5

security IOC

GuLoader - представляет собой вредоносную программу-загрузчик, которая загружает дополнительные вредоносные программы и запускает их. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение, но теперь он распространяется в виде установщика NSIS. Раньше он был известен как CloudEye, но получил название GuLoader, поскольку Google Drive часто используется в качестве URL-адреса загрузки. Помимо Google Drive, могут также использоваться различные URL-адреса, такие как One Drive от Microsoft.

Вместо того чтобы загружаться в виде файла, GuLoader загружается в память, чтобы избежать обнаружения, а загружаемый файл имеет кодировку, а не PE. После декодирования в памяти он исполняется, загружая вредоносные программы, такие как Infostealers (Formbook и AgentTesla) и RAT (Remcos и NanoCore).

Indicators of Compromise

URLs

  • http://154.204.178.219/wp-includes/nQcSrRtPYOnqiljZZ8.sea
  • https://drive.google.com/uc?export=download&id=1Ia5DX9lRaNvKs6FLdmqcFfiRUuvlSPYS
  • https://drive.google.com/uc?export=download&id=1iWDvo4CQWWMaqCVJovV4lRKxBGCpQjLN
SEC-1275-1
Добавить комментарий