GuLoader - это известный загрузчик на основе shellcode, который использовался в большом количестве атак для доставки широкого спектра "самых разыскиваемых" вредоносных программ.
GuLoader существует уже более трех лет и продолжает совершенствоваться. В последнюю версию интегрированы новые методы анти-анализа, что значительно затрудняет его анализ. Новые образцы GuLoader получают ноль обнаружений на VirusTotal, что гарантирует, что его вредоносная полезная нагрузка также остается необнаруженной.
Полезная нагрузка GuLoader полностью зашифрована, включая PE-заголовки. Это позволяет субъектам угроз хранить полезную нагрузку, используя известные публичные облачные сервисы, обходить антивирусную защиту и сохранять полезную нагрузку доступной для загрузки в течение длительного периода времени. Ранние версии GuLoader были реализованы в виде VB6-приложений, содержащих зашифрованный шелл-код. В настоящее время наиболее распространенные версии основаны на VBScript и установщике NSIS. Вариант VBScript хранит шеллкод на удаленном сервере.
Indicators of Compromise
URLs
- http://34.138.169.8/wp-content/themes/seotheme/CbwPtnKqeAYGeixiNB73.inf
- https://drive.google.com/uc?export=download&id=1BZ2BJVzqOMDwarpjiTzKEiwa42W1Dj9q
- https://drive.google.com/uc?export=download&id=1soTWv6y3rkBBbmMcBMOwovCqXxU4UQRB
MD5
- 141da1d174041a32cc6a234d80d0b850
- 40b9ca22013d02303d49d8f922ac2739
- 66274853e6f35e3fef0645a6587cb892
- 9623c946671c6ec7a30b7c45125d5d48
- bcea24378a2134429ca82164827f1c25
- c6e068ce04fb4959e2e6daaebac8d893
- d5335a1ec161a8430e564bc66c16f894
