Les chasseurs de menaces ont démasqué les dernières astuces adoptées par une souche de malware appelée GuLoader dans le but de rendre l’analyse plus difficile.
« Bien que les fonctionnalités principales de GuLoader n’aient pas radicalement changé au cours des dernières années, ces mises à jour constantes de leurs techniques d’obscurcissement font de l’analyse de GuLoader un processus long et gourmand en ressources », Daniel Stepanic, chercheur chez Elastic Security Labs. dit dans un rapport publié cette semaine.
Repéré pour la première fois fin 2019, GuLoader (alias CloudEyE) est un téléchargeur de logiciels malveillants avancé basé sur un shellcode qui est utilisé pour distribuer un large éventail de charges utiles, telles que les voleurs d’informations, tout en intégrant une multitude de techniques anti-analyse sophistiquées pour éviter les solutions de sécurité traditionnelles.
Un flux constant de rapports open source L’attaque du malware au cours des derniers mois a révélé que les acteurs de la menace à l’origine de ce malware ont continué à améliorer sa capacité à contourner les fonctionnalités de sécurité existantes ou nouvelles ainsi que d’autres fonctionnalités mises en œuvre.
GuLoader se propage généralement via des campagnes de phishing, dans lesquelles les victimes sont amenées à télécharger et à installer le logiciel malveillant via des e-mails contenant des archives ZIP ou des liens contenant un fichier Visual Basic Script (VBScript).
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
La société israélienne de cybersécurité Check Point a révélé en septembre 2023 que « GuLoader est désormais vendu sous un nouveau nom sur la même plateforme que Remcos et est implicitement présenté comme un crypteur qui rend sa charge utile totalement indétectable par les antivirus. »
L’une des modifications récentes apportées au malware est une amélioration d’une technique anti-analyse divulguée pour la première fois par CrowdStroke en décembre 2022 et qui est centrée sur sa gestion des exceptions vectorielles (VÉH) aptitude.
Il convient de souligner que le mécanisme a déjà été détaillé par les deux Laboratoires McAfee et Point de contrôle en mai 2023, le premier déclarant que « GuLoader utilise le VEH principalement pour obscurcir le flux d’exécution et ralentir l’analyse ».
La méthode “consiste à interrompre le flux normal d’exécution du code en lançant délibérément un grand nombre d’exceptions et en les gérant dans un gestionnaire d’exceptions vectorielles qui transfère le contrôle à une adresse calculée dynamiquement”, a expliqué Check Point.
GuLoader est loin d’être la seule famille de malwares à avoir reçu des mises à jour constantes. Un autre exemple notable est DarkGate, un cheval de Troie d’accès à distance (RAT) qui permet aux attaquants de compromettre entièrement les systèmes des victimes.
Vendu sous forme de malware-as-a-service (MaaS) par un acteur connu sous le nom de RastaFarEye sur des forums clandestins pour un montant mensuel de 15 000 $, le malware utilise des e-mails de phishing contenant des liens pour distribuer le vecteur d’infection initial : un programme d’installation de logiciels VBScript ou Microsoft (MSI). ) déposer.
Trellix, qui a analysé la dernière version de DarkGate (5.0.19), a déclaré qu’elle “introduit une nouvelle chaîne d’exécution utilisant le chargement latéral de DLL et des shellcodes et chargeurs améliorés”. De plus, il s’accompagne d’une refonte complète de la fonctionnalité de vol de mot de passe RDP.
“L’auteur de la menace surveille activement les rapports sur les menaces pour effectuer des changements rapides, évitant ainsi les détections”, chercheurs en sécurité Ernesto Fernández Provecho, Pham Duy Phuc, Ciana Driscoll et Vinoo Thomas. dit.
“Son adaptabilité, la rapidité avec laquelle il itère et la profondeur de ses méthodes d’évasion témoignent de la sophistication des menaces de logiciels malveillants modernes.”
Le développement intervient alors que des chevaux de Troie d’accès à distance comme Agent Tesla et AsyncRAT ont été observés se propageant à l’aide de nouvelles chaînes d’infection par courrier électronique qui exploitent la stéganographie et des types de fichiers inhabituels pour tenter de contourner les mesures de détection antivirus.
Cela fait également suite à un rapport de l’équipe HUMAN Satori Threat Intelligence sur la façon dont une version mise à jour d’un moteur d’obfuscation de logiciels malveillants appelé ScrubCrypt (alias BatCloak) est utilisée pour diffuser le logiciel malveillant voleur RedLine.
“La nouvelle version de ScrubCrypt a été vendue à des acteurs malveillants sur une petite poignée de marchés du dark web, notamment Nulled Forum, Cracked Forum et Hack Forums”, a déclaré la société. dit.