Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El malware GuLoader utiliza nuevas técnicas para evadir el software de seguridad
  • Tecnología

El malware GuLoader utiliza nuevas técnicas para evadir el software de seguridad

teknomers 26 de Aralık de 2022 (Last updated: 26 de Aralık de 2022) 3 minutes read
El malware GuLoader utiliza nuevas técnicas para evadir el software


26 de diciembre de 2022Ravie LakshmanánIngeniería inversa

Los investigadores de seguridad cibernética han expuesto una amplia variedad de técnicas adoptadas por un descargador de malware avanzado llamado GuLoader para evadir el software de seguridad.

“La nueva técnica de antianálisis de shellcode intenta frustrar a los investigadores y los entornos hostiles al escanear la memoria del proceso completo en busca de cadenas relacionadas con la máquina virtual (VM)”, los investigadores de CrowdStrike, Sarang Sonawane y Donato Onofri. dijo en un artículo técnico publicado la semana pasada.

GuLoader, también llamado CloudEyE, es un descargador de Visual Basic Script (VBS) que se usa para distribuir troyanos de acceso remoto en máquinas infectadas. Se detectó por primera vez en la naturaleza en 2019.

En noviembre de 2021, una cepa de malware de JavaScript denominada RATDispenser surgió como un conducto para colocar GuLoader a través de un cuentagotas VBScript codificado en Base64.

La seguridad cibernética

Una muestra reciente de GuLoader desenterrada por CrowdStrike muestra un proceso de tres etapas en el que el VBScript está diseñado para ofrecer una etapa siguiente que realiza comprobaciones antianálisis antes de inyectar el código de shell incrustado en el VBScript en la memoria.

El shellcode, además de incorporar los mismos métodos de antianálisis, descarga un payload final elegido por el atacante desde un servidor remoto y lo ejecuta en el host comprometido.

“El shellcode emplea varios trucos contra el análisis y la depuración en cada paso de la ejecución, arrojando un mensaje de error si el shellcode detecta algún análisis conocido de los mecanismos de depuración”, señalaron los investigadores.

Esto incluye comprobaciones anti-depuración y anti-desmontaje para detectar la presencia de un depurador remoto y puntos de interrupción y, si se encuentran, terminar el código de shell. El shellcode también presenta escaneos para software de virtualización.

Una capacidad adicional es lo que la compañía de ciberseguridad llama un “mecanismo de inyección de código redundante” para evitar NTDLL.dll ganchos implementados por soluciones de detección y respuesta de punto final (EDR).

API de NTDLL.dll enganche es un técnica usado por motores antimalware para detectar y marcar procesos sospechosos en Windows al monitorear las API que se sabe que son abusadas por los actores de amenazas.

En pocas palabras, el método implica el uso de instrucciones de ensamblaje para invocar la función API de Windows necesaria para asignar memoria (es decir, NtAsignarMemoriaVirtual) e inyectar Shellcode arbitrario en la memoria a través de proceso de vaciado.

Los hallazgos de CrowdStrike también se producen cuando la empresa de seguridad cibernética Cymulate demostró una técnica de derivación de EDR conocida como Lado siego que permite ejecutar código arbitrario mediante el uso de puntos de interrupción de hardware para crear un “proceso con solo el NTDLL en un estado independiente y desenganchado”.

“GuLoader sigue siendo una amenaza peligrosa que evoluciona constantemente con nuevos métodos para evadir la detección”, concluyeron los investigadores.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Fallece el actor John Leddy (de Zeg ‘ns Aaa) a los 92 años
Next: Magdeburg se va al receso mundialista con victoria en casa

Related Stories

Waymo abre una filial en Francia: los robots taxis se
  • Tecnología

Waymo abre una filial en Francia: los robots taxis se acercan a París

teknomers 3 de Temmuz de 2026
Apple Watch Series 12: un sensor de salud en la
  • Tecnología

Apple Watch Series 12: un sensor de salud en la pulsera

teknomers 3 de Temmuz de 2026
Redroad F1: limpiador a vapor a 109,99 € para textiles
  • Tecnología

Redroad F1: limpiador a vapor a 109,99 € para textiles

teknomers 3 de Temmuz de 2026

You May Have Missed

  • Deporte

Wimbledon 2026: Serena Williams y Venus Williams añaden al orden de juego del sábado, pero no se les asigna una cancha

teknomers 3 de Temmuz de 2026
  • General

Lecciones de vida: Proverbio japonés del día: “La vida es la misma ya sea que la pasemos llorando o…” — Lecciones de vida sobre el equilibrio, el desapego, la aceptación, la fortaleza emocional y por qué esto también pasará.

teknomers 3 de Temmuz de 2026
  • General

España: un incendio arrasa 1,280 ha cerca de la Costa Brava, una decena de municipios confinados

teknomers 3 de Temmuz de 2026
  • Finanzas

Incendio en Canet-en-Roussillon: los valiosos moldes de los catamaranes Catana salvados por los servicios de emergencia y los empleados

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.