Los cazadores de amenazas han desenmascarado los últimos trucos adoptados por una cepa de malware llamada GuLoader en un esfuerzo por hacer el análisis más desafiante.
«Si bien la funcionalidad principal de GuLoader no ha cambiado drásticamente en los últimos años, estas actualizaciones constantes en sus técnicas de ofuscación hacen que el análisis de GuLoader sea un proceso que requiere mucho tiempo y recursos», dijo el investigador de Elastic Security Labs, Daniel Stepanic. dicho en un informe publicado esta semana.
Visto por primera vez a finales de 2019, GuLoader (también conocido como CloudEyE) es un descargador avanzado de malware basado en shellcode que se utiliza para distribuir una amplia gama de cargas útiles, como ladrones de información, al tiempo que incorpora un conjunto de sofisticadas técnicas antianálisis para eludir las soluciones de seguridad tradicionales.
Un flujo constante de informes de código abierto El análisis del malware en los últimos meses ha revelado que los actores de amenazas detrás de él han seguido mejorando su capacidad para eludir las funciones de seguridad nuevas o existentes junto con otras funciones implementadas.
GuLoader generalmente se propaga a través de campañas de phishing, donde se engaña a las víctimas para que descarguen e instalen el malware a través de correos electrónicos que contienen archivos ZIP o enlaces que contienen un archivo Visual Basic Script (VBScript).
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
La empresa israelí de ciberseguridad Check Point, reveló en septiembre de 2023 que «GuLoader ahora se vende con un nuevo nombre en la misma plataforma que Remcos y se promociona implícitamente como un cifrador que hace que su carga útil sea totalmente indetectable para los antivirus».
Uno de los cambios recientes en el malware es una mejora de una técnica antianálisis revelada por primera vez por CrowdStroke en diciembre de 2022 y que se centra en su manejo de excepciones vectorizadas (VEH) capacidad.
Vale la pena señalar que el mecanismo fue detallado previamente por ambos Laboratorios McAfee y Punto de control en mayo de 2023, y el primero afirmó que «GuLoader emplea VEH principalmente para ofuscar el flujo de ejecución y ralentizar el análisis».
El método «consiste en romper el flujo normal de ejecución de código lanzando deliberadamente una gran cantidad de excepciones y manejándolas en un controlador de excepciones vectorial que transfiere el control a una dirección calculada dinámicamente», dijo Check Point.
GuLoader está lejos de ser la única familia de malware que ha recibido actualizaciones constantes. Otro ejemplo notable es DarkGate, un troyano de acceso remoto (RAT) que permite a los atacantes comprometer completamente los sistemas de las víctimas.
Vendido como malware como servicio (MaaS) por un actor conocido como RastaFarEye en foros clandestinos por una tarifa mensual de 15.000 dólares, el malware utiliza correos electrónicos de phishing que contienen enlaces para distribuir el vector de infección inicial: un VBScript o un instalador de software de Microsoft (MSI). ) archivo.
Trellix, que analizó la última versión de DarkGate (5.0.19), dijo que «introduce una nueva cadena de ejecución que utiliza carga lateral de DLL y cargadores y códigos de shell mejorados». Además, viene con una revisión completa de la función de robo de contraseñas RDP.
«El actor de amenazas ha estado monitoreando activamente los informes de amenazas para realizar cambios rápidos y así evadir las detecciones», afirman los investigadores de seguridad Ernesto Fernández Provecho, Pham Duy Phuc, Ciana Driscoll y Vinoo Thomas. dicho.
«Su adaptabilidad, la velocidad con la que itera y la profundidad de sus métodos de evasión dan fe de la sofisticación de las amenazas de malware modernas».
El desarrollo se produce cuando troyanos de acceso remoto como Agente Tesla y asíncrono Se ha observado que se propagan mediante novedosas cadenas de infección basadas en correo electrónico que aprovechan la esteganografía y tipos de archivos poco comunes en un intento de eludir las medidas de detección antivirus.
También sigue a un informe del HUMAN Satori Threat Intelligence Team sobre cómo se está utilizando una versión actualizada de un motor de ofuscación de malware llamado ScrubCrypt (también conocido como BatCloak) para entregar el malware ladrón RedLine.
«La nueva versión de ScrubCrypt se vendió a actores de amenazas en un pequeño puñado de mercados de la web oscura, incluidos Nulled Forum, Cracked Forum y Hack Forums», dijo la compañía. dicho.