Главная страница » IOC
0
2 года
IOC

GuLoader IOCs - Part 14

security

GuLoader - это вредоносная программа-загрузчик, которая загружает дополнительные вредоносные программы и запускает их. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение, но теперь он распространяется в виде установщика NSIS. Раньше он был известен как CloudEye, но получил название GuLoader, поскольку Google Drive часто используется в качестве URL-адреса загрузки. Помимо Google Drive могут использоваться различные URL-адреса, такие как One Drive от Microsoft и Discord.

Вместо того чтобы загружаться в виде файла, GuLoader загружается в память, чтобы избежать обнаружения, и загруженный файл кодируется, а не записывается в PE. После декодирования в памяти он исполняется, загружая вредоносные программы, такие как Infostealers (Formbook и AgentTesla) и RAT (Remcos и NanoCore).

Поскольку большинство из них распространяется через спам-письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на поставку, имена файлов содержат такие слова, как показано выше (Invoice, Shipment и P.O. - Purchase Order). Некоторые образцы имеют расширения, замаскированные под файлы документов, такие как pdf и xlsx, или файлы чертежей Auto CAD, такие как dwg.

  • Joniseres Bremselngdens.exe
  • Protopectin.exe
  • Import_Declaration_7855549236_1235623463179M.exe
  • WIENERBE.EXE
  • Saddlers Hopefulnesses.exe

Indicators of Compromise

URLs

  • http://194.59.218.151/jtTfvQt56.bin
  • http://194.59.218.151/UbtEVVkWDjTFGUv95.bin
  • http://194.87.151.30/OpgKnwoQwyHwIZTLfX129.bin
  • http://priexports.com/wp-includes/aaxcdcm/UuDhBPJh120.bin
  • http://serverdard1.ru/OhejoqRlwhK192.bin
  • https://drive.google.com/uc?export=download&id=1eGwWncQmLEsXdP5ff_p2rVAIbzuN9c83
  • https://drive.google.com/uc?export=download&id=1FiIw3jOi2X6k7bk0O-0jJUtvYtEAKPJN
  • https://drive.google.com/uc?export=download&id=1SlvIsXWjYtp6_ZXLs6tqNuZNqhF_a7zF
  • https://onedrive.live.com/download?cid=2024B4AB596A5CB0&resid=2024B4AB596A5CB0%21125&authkey=AOnM_BrarbwEt-8
  • https://onedrive.live.com/download?cid=5849189723610833&resid=5849189723610833%21106&authkey=AAnw-K3UNkoOvBQ
  • https://secr.in/gallery/oo_PpROrG11.bin
Комментарии: 0
Похожие записи
0
43 минуты
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
0
9 дней
IOC

Предупреждение о фишинговых письмах, распространяющих вредоносное ПО GuLoader и выдающих себя за известную международную судоходную компанию

phishing
Аналитический центр AhnLab SEcurity (ASEC) обнаружил фишинговые письма, которые содержат вредоносное ПО GuLoader и притворяются известной международной судоходной компанией.