BI.ZONE об атаках с помощью загрузчика GuLoader
Компания BI.ZONE сообщила, что на протяжении всего 2024 г. команда BI.ZONE Threat Intelligence фиксировала рассылку загрузчика, который злоумышленники использовали для атак на российские организации. Инструмент загружал на скомпрометированные устройства различные вредоносные программы, в том числе стилеры и трояны удаленного доступа. Это ПО запускалось только после того, как GuLoader выполнял предварительную проверку среды исполнения, – тем самым повышались шансы преступников на то, что вредоносная программа будет запущена не в виртуальной среде или песочнице, а на реальном устройстве.
Целями атакующих в первую очередь становились российские компании из сфер доставки и логистики, страхования и фармацевтики. Для доставки загрузчика использовались фишинговые письма. Чтобы сделать фишинг более правдоподобным и вызвать доверие у пользователей, злоумышленники рассылали письма от имени реальных компаний – промышленных предприятий, металлургических комбинатов, строительных компаний, почтовых и логистических организаций и т. д.
Во вложении к фишинговому письму был архив с исполняемым файлом формата PE-EXE (реже VBS). Если жертва запускала файл, загрузчик GuLoader устанавливался на устройство.
Как комментируют в BI.ZONE Threat Intelligence, GuLoader имеет ряд особенностей. Его код содержит широкий арсенал как низкоуровневых, так и высокоуровневых техник и программных процедур, которые позволяют обходить средства защиты и среды исполнения, включая виртуальные машины и продукты класса sandbox. Кроме того, GuLoader в качестве основной нагрузки может загружать самое разное вредоносное ПО – чаще всего трояны удаленного доступа, стилеры, а также инструменты, совмещающие обе функции. После запуска и NSIS-распаковки GuLoader начинает проводить различные проверки, чтобы избежать отладки, выполнения в песочнице или в виртуализированных средах. Если все проверки прошли успешно, система и исполняемая среда не были признаны виртуальной машиной или песочницей, а также не обнаружено факта отладки, GuLoader выкачивает зашифрованную вредоносную нагрузку с удаленного ресурса, расшифровывает ее, внедряет в адресное пространство процесса и передает управление на шелл-код.
Загрузчик GuLoader был создан в 2019–2020 гг., и с тех пор злоумышленники неоднократно его модернизировали, постоянно улучшая возможности инструмента по уходу от обнаружения средствами защиты.