В мире кибербезопасности появилась новая угроза - вредоносный загрузчик GuLoader, который активно используется злоумышленниками для распространения опасного ПО. Ранее известный как CloudEye, этот загрузчик изменил тактику и теперь маскируется под легитимные файлы, загружаемые через популярные облачные сервисы, такие как Google Drive, Microsoft OneDrive и даже Discord. Это усложняет его обнаружение и блокировку, поскольку пользователи часто доверяют файлам, скачанным с этих платформ.
Описание
Одной из ключевых особенностей GuLoader является его способность избегать записи на диск. Вместо этого он загружается напрямую в память, что значительно затрудняет его обнаружение традиционными антивирусными решениями. После загрузки вредоносный код декодируется и исполняется в памяти, после чего загружает дополнительные вредоносные программы. Среди них - инфостилеры, такие как Formbook и AgentTesla, которые крадут конфиденциальные данные, а также удаленные трояны (RAT), включая Remcos и NanoCore, позволяющие злоумышленникам получать полный контроль над зараженной системой.
Распространение GuLoader чаще всего происходит через фишинговые письма, маскирующиеся под деловую переписку. Злоумышленники используют темы, связанные с финансовыми документами, такими как счета-фактуры, отгрузочные накладные или заказы на поставку. Имена файлов могут выглядеть вполне легитимно, например, "Invoice_2023.pdf.exe" или "Shipment_Details.xlsx.exe", что заставляет невнимательных пользователей открывать их. Кроме того, вредоносные файлы иногда маскируются под документы AutoCAD (например, с расширением .dwg), что еще больше усложняет их идентификацию.
Некоторые из обнаруженных образцов вредоносных файлов включают названия вроде "Joniseres Bremselngdens.exe", "Protopectin.exe", "Import_Declaration_7855549236_1235623463179M.exe", "WIENERBE.EXE" и "Saddlers Hopefulnesses.exe". Эти имена могут показаться случайным набором символов, но они специально подобраны, чтобы избежать автоматического обнаружения системами защиты.
Эксперты по кибербезопасности рекомендуют пользователям проявлять крайнюю осторожность при работе с вложениями в электронных письмах, особенно если они приходят от неизвестных отправителей. Важно проверять расширения файлов и не открывать исполняемые файлы (.exe), замаскированные под документы. Кроме того, следует использовать современные антивирусные решения с функциями поведенческого анализа, которые могут обнаруживать вредоносные программы, работающие исключительно в памяти.
GuLoader - это еще один пример того, как злоумышленники постоянно совершенствуют свои методы, чтобы обходить защитные механизмы. В условиях растущей сложности кибератак пользователям и компаниям необходимо оставаться бдительными и регулярно обновлять свои знания в области информационной безопасности. Только комплексный подход, включающий технические средства защиты и осведомленность сотрудников, может минимизировать риски заражения подобными угрозами.
Индикаторы компрометации
URLs
- http://194.59.218.151/jtTfvQt56.bin
- http://194.59.218.151/UbtEVVkWDjTFGUv95.bin
- http://194.87.151.30/OpgKnwoQwyHwIZTLfX129.bin
- http://priexports.com/wp-includes/aaxcdcm/UuDhBPJh120.bin
- http://serverdard1.ru/OhejoqRlwhK192.bin
- https://drive.google.com/uc?export=download&id=1eGwWncQmLEsXdP5ff_p2rVAIbzuN9c83
- https://drive.google.com/uc?export=download&id=1FiIw3jOi2X6k7bk0O-0jJUtvYtEAKPJN
- https://drive.google.com/uc?export=download&id=1SlvIsXWjYtp6_ZXLs6tqNuZNqhF_a7zF
- https://onedrive.live.com/download?cid=2024B4AB596A5CB0&resid=2024B4AB596A5CB0%21125&authkey=AOnM_BrarbwEt-8
- https://onedrive.live.com/download?cid=5849189723610833&resid=5849189723610833%21106&authkey=AAnw-K3UNkoOvBQ
- https://secr.in/gallery/oo_PpROrG11.bin
