GuLoader IOCs - Part 9

security IOC

GuLoader - это вредоносная программа-загрузчик, которая загружает дополнительные вредоносные программы и запускает их. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение, но теперь он распространяется в виде установщика NSIS. Раньше он был известен как CloudEye, но получил название GuLoader, поскольку Google Drive часто используется в качестве URL-адреса загрузки. Помимо Google Drive могут использоваться различные URL-адреса, такие как One Drive от Microsoft и Discord.

Вместо того чтобы загружаться в виде файла, GuLoader загружается в память, чтобы избежать обнаружения, и загруженный файл кодируется, а не записывается в PE. После декодирования в памяти он исполняется, загружая вредоносные программы, такие как Infostealers (Formbook и AgentTesla) и RAT (Remcos и NanoCore).

Поскольку большинство из них распространяется через спам-письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на поставку, имена файлов содержат такие слова, как показано выше (Invoice, Shipment и P.O. - Purchase Order). Некоторые образцы имеют расширения, замаскированные под файлы документов, такие как pdf и xlsx, или файлы чертежей Auto CAD, такие как dwg.

Indicators of Compromise

URLs

  • http://drive.google.com/uc?export=download&id=1DuiP219QsHK19SznHPC9NMJ30Owcebsu
  • http://drive.google.com/uc?export=download&id=1dv6tlOwLU3eePqgwUUYvgVSFYgs8NuZi
  • http://drive.google.com/uc?export=download&id=1KxH1poJnEw5m0kDdS0Ut5cY3RYNL4-dL
  • http://drive.google.com/uc?export=download&id=1uv_5EGH8vju6IUAtg3Bc1iyWfqLnhNaU
  • http://drive.google.com/uc?export=download&id=1w4Ldxfm6QjyxbksxswERlGDtHvoheTf9
  • http://drive.google.com/uc?export=download&id=1zomSN6wCxUSmHyDxEQxPjW0m6b8x81cT
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий