GuLoader - это продвинутый загрузчик, написанный в шеллкоде. Он используется преступниками для широкомасштабного распространения других вредоносных программ, в частности троянов. Он печально известен тем, что использует возможности антиобнаружения и антианализа.
Что такое вредоносная программа GuLoader
Как и следует из названия, GuLoader (иногда также называемый CloudEyE и vbdropper) - это троян первой стадии, предназначенный для заражения системы и передачи конечной полезной нагрузки. Как правило, это другие трояны или RAT. Проникнув в систему жертвы, вредоносная программа пытается установить удаленное соединение и загрузить вредоносный исполняемый файл.
Эта вредоносная программа печально известна тем, что использует передовые методы защиты от обнаружения и обфускации. Она ускользает от сетевого обнаружения, перестает выполняться в виртуальных средах и может проскользнуть мимо автоматических систем безопасности.
Исследователи впервые заметили GuLoader в декабре 2019 года, когда он использовался в кампании по доставке Remcos RAT. На протяжении 2020 года троян продолжал набирать популярность, и в какой-то момент на него пришлось 25% всех пакетных образцов, зарегистрированных Check Point Research. Сегодня GuLoader остается весьма активной угрозой. Он часто поставляет NanoCore, Agent Tesla, LokiBot и FormBook.
Общее описание загрузчика GuLoader
GuLoader написан в виде зашифрованного шелл-кода, обернутого в исполняемый файл Visual Basic 6 (VB6). Примечательно, что он хранит полезную нагрузку второго этапа в облачных дисковых сервисах. Обычно в Google Drive или Microsoft OneDrive. Таким образом, он может установить соединение и загрузить исполняемый файл, не поднимая никаких тревожных сигналов. Полезная нагрузка обычно зашифрована, что позволяет ей проскользнуть мимо мер безопасности облачного хоста.
Этот загрузчик печально известен тем, что использует методы антианализа:
- шеллкод сильно обфусцирован и смешан с большим количеством нежелательного кода.
- Он обнаруживает песочницы с помощью EnumWindows, подсчитывая количество окон приложения на экране, и завершает работу с сообщением об ошибке.
- Он вмешивается в работу отладочного ПО, вызывая сбои.
- Он использует встраивание процессов, чтобы внедрить вредоносный код в доброкачественный процесс и избежать обнаружения антивирусом.
- Чтобы запутать аналитиков, его PE-заголовок содержит только общие инструкции GetProcAddress.
Как и многие другие программы загрузки, GuLoader предлагается в качестве услуги. Цены начинаются от 100 долларов в месяц. В Интернете его распространяет компания с доменным именем в зоне .eu. На сайте он продается под названием CloudEye, утверждая, что это инструмент безопасности, предназначенный для защиты приложений от взлома. Однако на том же сайте содержатся ссылки на учебные пособия YouTube, в которых наглядно показано, как использовать это программное обеспечение во вредоносных целях. В них также показано, как злоупотреблять облачными дисками.
Исследователям удалось связать GuLoader с итальянской хакерской группой, проанализировав электронные письма, оставленные в качестве контактных данных в старых темах на форумах. Один из пользователей, создавших загрузчик, известен под псевдонимом sonykuccio. Он рекламировал свой вариант вредоносной программы еще в 2011 году и предлагал платные услуги, утверждая, что может сделать другие вредоносные программы более трудно обнаруживаемыми. Именно поэтому GuLoader использует так много изощренных методов защиты от вторжения.
Процесс выполнения GuLoader
Форма распространения GuLoader меняется с течением времени, но процесс его выполнения всегда остается довольно простым. Поскольку целью GuLoader является загрузка в зараженную систему основной полезной нагрузки, после запуска он проверяет, запущен ли он в виртуальной среде. Если проверка пройдена, он начинает соединение и загрузку полезной нагрузки. Как только полезная нагрузка загружена и начинает выполняться, GuLoader останавливается.
Но даже если загрузчик не подключился к C2 во время анализа, вы всегда можете посмотреть в извлеченной конфигурации вредоносной программы, чтобы узнать, откуда GuLoader хочет получить полезную нагрузку!
Распространение GuLoader
Способ распространения GuLoader очень типичен. Загрузчик обычно поставляется в виде вложения документа Office в спам-рассылках по электронной почте. При загрузке он использует макрос для установки вредоносной программы. Иногда он также поставляется в виде исполняемого файла в архиве .rar.
Во время пандемии многие кампании использовали страх перед вирусом Covid-19, упоминая о нем. В последнее время злоумышленники используют поддельные счета на оплату. Они выдают себя за банк и используют социальную инженерию, чтобы обманом заставить жертву загрузить зараженный файл для проверки "платежных реквизитов".
Заключение
GuLoader доступен как услуга по относительно низкой цене, его легко найти в сети, и он поставляется с простыми в исполнении инструкциями. Неудивительно, что создатели утверждают, что у них уже более 5000 клиентов. Благодаря сочетанию передовых трюков по борьбе с обманом и простоте использования популярность программы будет расти и дальше.