Центр экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC) выявил случаи распространения GuLoader в виде вложений в электронных письмах, замаскированных под налоговые накладные и акты об отправке. Недавно выявленный вариант GuLoader был включен в состав сжатого файла RAR (Roshal Archive Compressed). Когда пользователь запускает GuLoader, он в конечном итоге загружает такие известные штаммы вредоносного ПО, как Remcos, AgentTesla и Vidar.
Кроме Remcos, GuLoader также загружает и запускает продаваемые в Интернете штаммы вредоносных программ Formbook и Lokibot. Такие штаммы вредоносного ПО, предлагаемые на продажу, называются товарными. Угрожающий агент, скорее всего, использует такие программы-загрузчики, как GuLoader, для распространения коммерческих вредоносных программ вместо их прямого распространения, чтобы обойти сигнатурное обнаружение продуктов защиты. В прошлом GuLoader компилировался на VisualBasic, в настоящее время он компилируется на NSIS и .NET. Как бы то ни было, его форма постоянно меняется в процессе распространения, чтобы обойти статическое обнаружение. Однако исполняемые в области памяти штаммы вредоносных программ относятся к коммерческим типам, таким как Remcos, поэтому, даже если форма отличается, каждый вариант выполняет одни и те же вредоносные действия.
Indicators of Compromise
IPv4 Port Combinations
- 192.229.211.108:80
- 20.99.185.48:443
MD5
- 0063d48afe5a0cdc02833145667b6641
- a737e9b83efa17e33122fcfd68859d5a
- ab5050f0b4b71352722a6122c8107f83
SHA1
- 10c6429825adaba12c34696a8ff00879b2abbb88
SHA256
- 7da5b2207cf789cf6807b6cc3373048cbc951d7fd09ca8fb858693cfa5f5edba
