Главная страница » IOC
0
2 года
IOC

GuLoader Malware IOCs - Part 18

security

GuLoader - это вредоносная программа-загрузчик, которая загружает дополнительные вредоносные программы и запускает их. В прошлом он был упакован с помощью языка Visual Basic, чтобы обойти обнаружение, но теперь он распространяется в виде установщика NSIS. Раньше он был известен как CloudEye, но получил название GuLoader, поскольку Google Drive часто используется в качестве URL-адреса загрузки. Помимо Google Drive могут использоваться различные URL-адреса, такие как One Drive от Microsoft и Discord.

Вместо того чтобы загружаться в виде файла, GuLoader загружается в память, чтобы избежать обнаружения, а загружаемый файл имеет кодировку, а не PE. После декодирования в памяти он исполняется, загружая вредоносные программы, такие как Infostealers (Formbook и AgentTesla) и RAT (Remcos и NanoCore).

Поскольку большинство из них распространяется через спам-письма, замаскированные под счета-фактуры, отгрузочные документы и заказы на поставку, имена файлов содержат такие слова, как показано выше (Invoice, Shipment и P.O. - Purchase Order). Некоторые образцы имеют расширения, замаскированные под файлы документов, такие как pdf и xlsx, или файлы чертежей Auto CAD, такие как dwg.

Indicators of Compromise

URLs

  • http://107.172.148.208/blk/jzKrFwCeIEvTEpb62.bin
  • http://107.172.148.208/id/ItohJUoNuBuEH73.bin
  • http://107.172.148.217/cl/cc/GxwFzwcvtovTBxiVO240.bin
  • http://107.172.148.217/re/rs/IRjVevieEjoNGeLpLWfDSZKIoW131.bin
  • http://156.96.113.118/POVwBXwZMXSLQfyOjJ204.bin
  • http://212.192.219.58/LgUXia76.bin
  • http://34.138.169.8/wp-content/themes/seotheme/GXwzZXw152.bin
  • http://78.138.105.156/xvNMB69.bin
  • http://93-103-1-247.static.t-2.net/wordpress/wp-content/plugins/3d33e57e8d4b43cba374b2cf2ad480f6/y/mm/mmd/ScGHQrDJqjlyYsDeuBTQACc52.bin
  • http://zhaoziliao1668.cn/PuTDpilZWMlYmw7.bin
  • https://drive.google.com/uc?export=download&id=1BE6BAHmf3NoHDjFdwRJlJOUVWfeDM-eO
  • https://drive.google.com/uc?export=download&id=1JntGzXZnkoZtzjegN4HaFkjUeolR96CA
  • https://drive.google.com/uc?export=download&id=1K-sbxDlPJ-TxrtE_l-4l5bvddXLb5MZ3
  • https://drive.google.com/uc?export=download&id=1TCu7G14PuLCh2gEmhGzMtc7xp72fyCOq
  • https://drive.google.com/uc?export=download&id=1WDiaeKNkPyf1Q5pDiJRZhtZE_2LpKJn5
  • https://drive.google.com/uc?export=download&id=1YH9fubB4nrYg6Lwvpi2mMkfl1k3mjHCY
  • https://www.dropbox.com/s/zgeyqforih4yvth/guIVxDWTwsIKbwd35.bin?dl=1
  • https://www.hadxxx.cf/qMvHJhXhgprKB96.bin
Комментарии: 0
Похожие записи
0
8 часов
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
0
9 дней
IOC

Предупреждение о фишинговых письмах, распространяющих вредоносное ПО GuLoader и выдающих себя за известную международную судоходную компанию

phishing
Аналитический центр AhnLab SEcurity (ASEC) обнаружил фишинговые письма, которые содержат вредоносное ПО GuLoader и притворяются известной международной судоходной компанией.