GuLoaderпредставляет собой вредоносную программу-загрузчик, которая загружает и выполняет дополнительные вредоносные программы. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение, но теперь он распространяется в виде установщика NSIS. Раньше он был известен как CloudEye, но получил название GuLoader, поскольку Google Drive часто используется в качестве URL-адреса загрузки. Помимо Google Drive, могут также использоваться различные URL-адреса, такие как One Drive от Microsoft и Discord.
Вместо того, чтобы загружаться в виде файла, GuLoader загружается в память, чтобы избежать обнаружения, и загружаемый файл закодирован, а не PE. После декодирования в памяти он исполняется, загружая вредоносные программы, такие как Infostealers (Formbook и AgentTesla) и RAT (Remcos и NanoCore).
Поскольку большинство из них распространяется через спам-письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на поставку, имена файлов содержат такие слова, как показано выше (Invoice, Shipment и P.O. - Purchase Order). Некоторые образцы имеют расширения, замаскированные под файлы документов, такие как pdf и xlsx, или файлы чертежей Auto CAD, такие как dwg.
Indicators of Compromise
URLs
- http://195.133.40.46/XXmKLZgfCSWQlDQvWjUHjOpfe199.bin
- https://drive.google.com/uc?export=download&id=10g1ZohsMv6_-EniOZ4HrDkjTw799TA-Z
- https://drive.google.com/uc?export=download&id=17Is5gAy7w-_cFC4nAjsskKc175SD61Vg
- https://zeo-unusual-activity-com.chanellelakin.ml/wKNrcGcKEtUckQVrDo215.bin