Загрузчик GuLoader обладает широкими возможностями по обходу различных СЗИ и сред исполнения, включая виртуальные машины и песочницы. Обойдя средства защиты, GuLoader может загрузить на скомпрометированное устройство различное ВПО
На протяжении всего 2024 года команда BI.ZONE Threat Intelligence фиксировала рассылку загрузчика, который злоумышленники использовали для атак на российские организации. Инструмент загружал на скомпрометированные устройства широкий спектр вредоносных программ, в том числе стилеры и трояны удаленного доступа. ВПО запускалось только после того, как GuLoader выполнял предварительную проверку среды исполнения. Это повышало шансы преступников на то, что вредоносная программа будет запущена не в виртуальной среде или песочнице, а на реальном устройстве, и помогало достичь цели атаки.
Целями атакующих, как правило, становились российские компании из сфер доставки и логистики, страхования и фармацевтики. Для доставки загрузчика использовались фишинговые письма. Чтобы сделать фишинг более правдоподобным и вызвать доверие у пользователей, злоумышленники рассылали письма от имени реальных компаний — промышленных предприятий, металлургических комбинатов, строительных компаний, почтовых и логистических организаций и так далее.
Во вложении к фишинговому письму был архив с исполняемым файлом формата PE-EXE (реже VBS). Если жертва запускала файл, загрузчик GuLoader устанавливался на устройство.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
| GuLoader обладает рядом особенностей. В его коде имеется весьма широкий арсенал как низкоуровневых, так и высокоуровневых техник и программных процедур, которые позволяют обходить средства защиты и среды исполнения, включая виртуальные машины и продукты класса sandbox. Также GuLoader примечателен тем, что в качестве основной нагрузки он может загружать самое разное ВПО — чаще всего трояны удаленного доступа, стилеры, а также инструменты, совмещающие обе функции |
После запуска и NSIS-распаковки GuLoader начинает проводить различные проверки, чтобы избежать отладки, выполнения в песочнице или в виртуализированных средах. Если все проверки прошли успешно, система и исполняемая среда не были признаны виртуальной машиной или песочницей, а также не обнаружено факта отладки, GuLoader выкачивает зашифрованную вредоносную нагрузку с удаленного ресурса, расшифровывает ее, внедряет в адресное пространство процесса и передает управление на шелл-код.
GuLoader был создан в 2019–2020 годах, и с тех пор злоумышленники неоднократно его модернизировали. Разработчики этого ВПО постоянно улучшают возможности инструмента по уходу от обнаружения средствами защиты.
Чтобы эффективно противостоять современным кибератакам, необходимо получать актуальную информацию о ландшафте угроз. Для этого рекомендуется использовать порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные позволят улучшить детект СЗИ и ускорить реагирование на инциденты.
