GuLoader - это вредоносная программа-загрузчик, которая загружает дополнительные вредоносные программы и запускает их. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение, но теперь он распространяется в виде установщика NSIS. Раньше он был известен как CloudEye, но получил название GuLoader, поскольку Google Drive часто используется в качестве URL-адреса загрузки. Помимо Google Drive, могут также использоваться различные URL-адреса, такие как One Drive от Microsoft и Discord.
Вместо того чтобы загружаться в виде файла, GuLoader загружается в память, чтобы избежать обнаружения, и загружаемый файл закодирован, а не PE. После декодирования в памяти он исполняется, загружая вредоносные программы, такие как Infostealers (Formbook и AgentTesla) и RAT (Remcos и NanoCore).
Поскольку большинство из них распространяется через спам-письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на поставку, имена файлов содержат такие слова, как показано выше (Invoice, Shipment и P.O. - Purchase Order). Некоторые образцы имеют расширения, замаскированные под файлы документов, такие как pdf и xlsx, или файлы чертежей Auto CAD, такие как dwg
Indicators of Compromise
URLs
- http://5.255.110.224/klErcNeTFQR182.emz
- https://drive.google.com/uc?export=download&id=11CbFsftqr1Xo5pMnQ0yXoU3AOXjN6D9g
- https://drive.google.com/uc?export=download&id=17NzUaSj4s1XuTTewrLRdGOZr0b0foGCO
- https://drive.google.com/uc?export=download&id=1Fkuz6htSSF-OnZWIprqGOtyyuwm-5HbL
- https://drive.google.com/uc?export=download&id=1JLoWY_UwPQZqnfU-aXcbmQQGdybQA7bC
- https://drive.google.com/uc?export=download&id=1knb_1yCJra3TXaDYwwOwGC_CmdAclfH-
- https://drive.google.com/uc?export=download&id=1vmOa0igmO0NqRm3gFyOGIeifLGX9oQN4
- https://drive.google.com/uc?export=download&id=1WOHTf_-ZMbqLEd4azi7ABOVT3Sc31Qwf
- https://drive.google.com/uc?export=download&id=1ZXCL8GB-g88ZrE5yZcpsNCrMMx7dcNFt
- https://www.superwatercleanhealthy.com/ReAlN124.bin