Исследователи кибербезопасности CrowdStrike выявили широкий спектр методов , используемых продвинутым загрузчиком вредоносных программ GuLoader для обхода средств безопасности.
GuLoader
(CloudEyE) – VBS-загрузчик (Visual Basic Script, VBS), который используется для распространения
Средство удаленного администрирования (Remote Administration Tool, RAT) — инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.
» data-html=»true» data-original-title=»RAT»>RAT-троянов, например, Remcos . Впервые он был обнаружен в 2019 году.
Обнаруженный образец GuLoader демонстрирует трехэтапный процесс заражения:
- Первый этап: VBS-Дроппер – вредоносное ПО, используемое для установки на целевую систему других угроз. Дропперы содержат в себе финальную полезную нагрузку и не соединяются с C&C-серверами. Это делает их менее универсальными, но зато более незаметными.
» data-html=»true» data-original-title=»Дроппер»>дроппер помещает упакованную полезную нагрузку второго этапа в раздел реестра. Затем он использует PowerShell-сценарий для выполнения и распаковки полезной нагрузки второго этапа из раздела реестра в памяти.
Вредоносная программа реализует антиотладочные и антидизассемблирующие проверки для обнаружения наличия точек останова, используемых для анализа кода. Эксперты также заявили, что дополнительная возможность GuLoader — «механизм внедрения избыточного кода» для избегания перехвата компонента NTDLL.dll. Перехват API NTDLL.dll — это метод, используемый механизмами защиты от вредоносных программ для обнаружения и пометки подозрительных процессов в Windows путем отслеживания API злоумышленников.
Исследователи заключили, что GuLoader остается опасной угрозой, которая постоянно развивается благодаря новым методам уклонения от обнаружения.