GuLoader IOCs - Part 10

GuLoader - это вредоносная программа-загрузчик, которая загружает дополнительные вредоносные программы и запускает их. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение, но теперь он распространяется в виде установщика NSIS. Раньше он был известен как CloudEye, но получил название GuLoader, поскольку Google Drive часто используется в качестве URL-адреса загрузки. Помимо Google Drive могут использоваться различные URL-адреса, такие как One Drive от Microsoft и Discord.

Вместо того чтобы загружаться в виде файла, GuLoader загружается в память, чтобы избежать обнаружения, а загружаемый файл имеет кодировку, а не PE. После декодирования в памяти он исполняется, загружая вредоносные программы, такие как Infostealers (Formbook и AgentTesla) и RAT (Remcos и NanoCore).

Поскольку большинство из них распространяется через спам-письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на поставку, имена файлов содержат такие слова Invoice, Shipment и P.O. - Purchase Order. Некоторые образцы имеют расширения, замаскированные под файлы документов, такие как pdf и xlsx, или файлы чертежей Auto CAD, такие как dwg.

Indicators of Compromise

URLs

  • http://124.71.228.145/SJtQkpVnUoYtRSqkXXSs240.bin
  • http://194.55.224.251/xx/JydujS92.bin
  • http://34.138.169.8/wp-content/themes/seotheme/RenHLfAoTIbu98.bin
  • http://5.255.110.224/klErcNeTFQR182.emz
  • http://albacomplett.hu/GB.bin
  • http://avpqsnyw3.cf/wp-includes/VGFVmKxwJFpEz245.bin
  • http://cdn.discordapp.com/attachments/1075619462914514978/1092956816876511272/ttt.bin
  • http://drive.google.com/uc?export=download&id=16yXQ3Gl0c0wY5VEbP_L47kVKr-IWqM4s
  • http://vacanzeposada.it/sktyrecki/PprkFHnS81.bin
Комментарии: 0