GuLoader - это вредоносная программа-загрузчик, которая загружает дополнительные вредоносные программы и запускает их. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение, но теперь он распространяется в виде установщика NSIS. Раньше он был известен как CloudEye, но получил название GuLoader, поскольку Google Drive часто используется в качестве URL-адреса загрузки. Помимо Google Drive могут использоваться различные URL-адреса, такие как One Drive от Microsoft и Discord.
Вместо того чтобы загружаться в виде файла, GuLoader загружается в память, чтобы избежать обнаружения, и загруженный файл кодируется, а не записывается в PE. После декодирования в памяти он исполняется, загружая вредоносные программы, такие как Infostealers (Formbook и AgentTesla) и RAT (Remcos и NanoCore).
Поскольку большинство из них распространяется через спам-письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на поставку, имена файлов содержат такие слова, как показано выше (Invoice, Shipment и P.O. - Purchase Order). Некоторые образцы имеют расширения, замаскированные под файлы документов, такие как pdf и xlsx, или файлы чертежей Auto CAD, такие как dwg.
Indicators of Compromise
URLs
- http://156.96.113.118/DpYnCFwVMVetrv195.bin
- http://194.59.218.151/gMqEkJmSBILtp248.bin
- http://45.137.22.248/xkPsPAZLke202.bin
- http://45.137.22.92/IjJxgmIzpZTOcjgFa159.bin
- http://priexports.com/wp-includes/jRcXTGAttbPi211.bin
- https://drive.google.com/uc?export=download&id=1f5Gaaqyd_an_yn3urVXCgRimhDIWQEH8
- https://drive.google.com/uc?export=download&id=1kfSOrWNRZsUJeoTRBcNr3WpAa4ooQQx2
- https://drive.google.com/uc?export=download&id=1mNpX_7iJ-uX5eZnkk-EQBIEByGoem-jh
- https://drive.google.com/uc?export=download&id=1s4ceLHq26hFqu_Iv2Bdin8-wlGzdM9FE
- https://drive.google.com/uc?export=download&id=1tGzXK84XItA4VidcdR38DLly2Puuf07e
- https://drive.google.com/uc?export=download&id=1xXoqFmCq8ATz85etDvg4Lki3Py8410lD
- https://vinetikett.com/double/dbQquPueRCkMUB185.bin
