12.12.2023 | Скрытность за $15 000: GuLoader стал невидимым для средств защиты |
Компания Elastic Security Labs раскрыла новые приемы вредоносного ПО GuLoader , которые усложняют анализ и обнаружение угрозы. Основная функциональность GuLoader, впервые обнаруженного в конце 2019 года, не претерпела значительных изменений за последние годы, однако постоянное обновление методов обфускации делает его анализ затратным по времени и ресурсам. GuLoader (CloudEyE) является продвинутым загрузчиком вредоносного кода на основе шелл-кода , распространяемым через фишинговые кампании. Он используется для доставки различных видов вредоносных программ, включая кражу информации, и включает в себя сложные техники антианализа для обхода традиционных решений безопасности. Отмечается, что GuLoader теперь продается под новым именем на той же платформе, что и Remcos, и рекламируется как криптор , который делает его полезную нагрузку полностью невидимой для антивирусов. Одно из последних изменений в GuLoader – улучшение техники антианализа, основанной на использовании Vectored Exception Handling ( VEH ). Метод состоит в нарушении нормального потока выполнения кода путем преднамеренной генерации большого количества исключений и их обработки в векторном обработчике исключений, который передает управление на динамически вычисляемый адрес. GuLoader – не единственное вредоносное ПО, получающее постоянные обновления. Другой пример – DarkGate, троян удаленного доступа (Remote Access Trojan, RAT ), который позволяет атакующим полностью компрометировать системы жертв. Продаваемый по модели «вредоносное ПО услуга» (Malware-as-a-Service, MaaS ) за $15 000 в месяц, DarkGate использует фишинговые письма, содержащие ссылки для распространения начального вектора заражения: файл VBScript или Microsoft Software Installer (MSI). В последней версии DarkGate (5.0.19) представлен новый механизм выполнения с использованием боковой загрузки DLL ( DLL Sideloading ), улучшенных шелл-кодов и загрузчиков, а также полностью переработанная функция кражи паролей RDP . |
Проверить безопасность сайта