Скрытность за $15 000: GuLoader стал невидимым для средств защиты

Компания Elastic Security Labs раскрыла новые приемы вредоносного ПО GuLoader, которые усложняют анализ и обнаружение угрозы. Основная функциональность GuLoader, впервые обнаруженного в конце 2019 года, не претерпела значительных изменений за последние годы, однако постоянное обновление методов обфускации делает его анализ затратным по времени и ресурсам.

GuLoader (CloudEyE) является продвинутым загрузчиком вредоносного кода на основе шелл-кода, распространяемым через фишинговые кампании. Он используется для доставки различных видов вредоносных программ, включая кражу информации, и включает в себя сложные техники антианализа для обхода традиционных решений безопасности.

Отмечается, что GuLoader теперь продается под новым именем на той же платформе, что и Remcos, и рекламируется как криптор, который делает его полезную нагрузку полностью невидимой для антивирусов.

Одно из последних изменений в GuLoader – улучшение техники антианализа, основанной на использовании Vectored Exception Handling (VEH). Метод состоит в нарушении нормального потока выполнения кода путем преднамеренной генерации большого количества исключений и их обработки в векторном обработчике исключений, который передает управление на динамически вычисляемый адрес.

GuLoader – не единственное вредоносное ПО, получающее постоянные обновления. Другой пример – DarkGate, троян удаленного доступа (Remote Access Trojan, RAT), который позволяет атакующим полностью компрометировать системы жертв. Продаваемый по модели «вредоносное ПО услуга» (Malware-as-a-Service, MaaS) за $15 000 в месяц, DarkGate использует фишинговые письма, содержащие ссылки для распространения начального вектора заражения: файл VBScript или Microsoft Software Installer (MSI).

В последней версии DarkGate (5.0.19) представлен новый механизм выполнения с использованием боковой загрузки DLL (DLL Sideloading), улучшенных шелл-кодов и загрузчиков, а также полностью переработанная функция кражи паролей RDP.