GuLoader: новый опасный загрузчик, маскирующийся под документы и использующий облачные сервисы

Главная особенность GuLoader – его способность избегать классических методов обнаружения. В отличие от традиционных вредоносных файлов, которые загружаются на диск и затем запускаются, этот загрузчик работает прямо в оперативной памяти, что значительно усложняет его выявление антивирусными решениями. Кроме того, загружаемый файл не является исполняемым (PE-файлом) в привычном понимании – он закодирован, и только после декодирования в памяти начинает свою вредоносную деятельность.

После активации GuLoader загружает и запускает другие опасные программы, среди которых чаще всего встречаются инфостилеры (например, Formbook и AgentTesla), предназначенные для кражи конфиденциальных данных, а также удаленные троянцы (RAT), такие как Remcos и NanoCore. Эти программы позволяют злоумышленникам получать полный контроль над зараженными системами, перехватывать пароли, следить за действиями пользователей и даже использовать устройства в ботнетах.

Распространяется GuLoader преимущественно через фишинговые письма, которые маскируются под деловую переписку. Чаще всего злоумышленники используют темы, связанные с выставлением счетов, отгрузкой товаров или заказами на поставку. Вложения в таких письмах могут иметь названия вроде "Invoice.pdf", "Shipment_Document.xlsx" или "P.O._12345.dwg", что создает у жертвы ложное впечатление легитимности файла. Особую опасность представляют документы, замаскированные под файлы AutoCAD (например, с расширением .dwg), поскольку они реже вызывают подозрения у пользователей.

Эксперты по кибербезопасности рекомендуют проявлять повышенную бдительность при работе с вложениями в электронных письмах, особенно если они приходят от неизвестных отправителей. Даже если файл выглядит как обычный документ, перед открытием стоит проверить его антивирусом или воспользоваться облачными сервисами для предварительного просмотра без скачивания. Также важно регулярно обновлять операционную систему и установленное программное обеспечение, чтобы минимизировать риски эксплуатации уязвимостей.

GuLoader – очередное напоминание о том, что киберпреступники постоянно совершенствуют свои методы, а значит, и защита должна быть многослойной. Комбинация технических средств (антивирусы, межсетевые экраны) и осведомленности пользователей остается ключевым фактором в противодействии таким угрозам. Компаниям стоит обучать сотрудников основам кибергигиены, а частным пользователям – избегать недоверенных источников и всегда проверять подозрительные файлы перед их открытием.

URLs

• http://107.172.148.208/blk/jzKrFwCeIEvTEpb62.bin
• http://107.172.148.208/id/ItohJUoNuBuEH73.bin
• http://107.172.148.217/cl/cc/GxwFzwcvtovTBxiVO240.bin
• http://107.172.148.217/re/rs/IRjVevieEjoNGeLpLWfDSZKIoW131.bin
• http://156.96.113.118/POVwBXwZMXSLQfyOjJ204.bin
• http://212.192.219.58/LgUXia76.bin
• http://34.138.169.8/wp-content/themes/seotheme/GXwzZXw152.bin
• http://78.138.105.156/xvNMB69.bin
• http://93-103-1-247.static.t-2.net/wordpress/wp-content/plugins/3d33e57e8d4b43cba374b2cf2ad480f6/y/mm/mmd/ScGHQrDJqjlyYsDeuBTQACc52.bin
• http://zhaoziliao1668.cn/PuTDpilZWMlYmw7.bin
• https://drive.google.com/uc?export=download&id=1BE6BAHmf3NoHDjFdwRJlJOUVWfeDM-eO
• https://drive.google.com/uc?export=download&id=1JntGzXZnkoZtzjegN4HaFkjUeolR96CA
• https://drive.google.com/uc?export=download&id=1K-sbxDlPJ-TxrtE_l-4l5bvddXLb5MZ3
• https://drive.google.com/uc?export=download&id=1TCu7G14PuLCh2gEmhGzMtc7xp72fyCOq
• https://drive.google.com/uc?export=download&id=1WDiaeKNkPyf1Q5pDiJRZhtZE_2LpKJn5
• https://drive.google.com/uc?export=download&id=1YH9fubB4nrYg6Lwvpi2mMkfl1k3mjHCY
• https://www.dropbox.com/s/zgeyqforih4yvth/guIVxDWTwsIKbwd35.bin?dl=1
• https://www.hadxxx.cf/qMvHJhXhgprKB96.bin