Bedreigingsjagers hebben de nieuwste trucs ontmaskerd die zijn aangenomen door een malwaresoort genaamd GuLoader in een poging om analyse uitdagender te maken.
“Hoewel de kernfunctionaliteit van GuLoader de afgelopen jaren niet drastisch is veranderd, maken deze constante updates in hun verduisteringstechnieken het analyseren van GuLoader tot een tijdrovend en arbeidsintensief proces”, zei Elastic Security Labs-onderzoeker Daniel Stepanic in een rapport dat deze week werd gepubliceerd. .
GuLoader (ook bekend als CloudEyE) werd eind 2019 voor het eerst opgemerkt en is een geavanceerde op shellcode gebaseerde malware-downloader die wordt gebruikt om een breed scala aan payloads te verspreiden, zoals informatiestelers, terwijl het een hele reeks geavanceerde anti-analysetechnieken bevat om traditionele beveiligingsoplossingen te ontwijken.
Uit een gestage stroom van open source-rapportage over de malware in de afgelopen maanden is gebleken dat de dreigingsactoren erachter hun vermogen om bestaande of nieuwe beveiligingsfuncties te omzeilen, naast andere geïmplementeerde functies, zijn blijven verbeteren.
GuLoader wordt doorgaans verspreid via phishing-campagnes, waarbij slachtoffers worden misleid om de malware te downloaden en te installeren via e-mails met ZIP-archieven of links met een Visual Basic Script-bestand (VBScript).
Het Israëlische cyberbeveiligingsbedrijf Check Point onthulde in september 2023 dat “GuLoader nu onder een nieuwe naam wordt verkocht op hetzelfde platform als Remcos en impliciet wordt gepromoot als een crypter die zijn lading volledig niet detecteerbaar maakt door antivirusprogramma’s.”
Een van de recente wijzigingen aan de malware is een verbetering van een anti-analysetechniek die voor het eerst werd onthuld door CrowdStroke in december 2022 en die zich concentreert rond de Vectored Exception Handling (VEH)-mogelijkheid.
Het is de moeite waard erop te wijzen dat het mechanisme eerder in mei 2023 werd beschreven door zowel McAfee Labs als Check Point, waarbij eerstgenoemde verklaarde dat “GuLoader de VEH voornamelijk gebruikt om de uitvoeringsstroom te verdoezelen en de analyse te vertragen.”
De methode “bestaat uit het doorbreken van de normale stroom van code-uitvoering door opzettelijk een groot aantal uitzonderingen te genereren en deze af te handelen in een vectoruitzonderingshandler die de controle overdraagt aan een dynamisch berekend adres”, aldus Check Point.
GuLoader is verre van de enige malwarefamilie die voortdurend updates heeft ontvangen. Een ander opmerkelijk voorbeeld is DarkGate, een trojan voor externe toegang (RAT) waarmee aanvallers de systemen van slachtoffers volledig kunnen compromitteren.
De malware wordt verkocht als malware-as-a-service (MaaS) door een acteur die bekend staat als RastaFarEye op ondergrondse forums voor een maandelijks bedrag van $ 15.000. De malware maakt gebruik van phishing-e-mails met links om de initiële infectievector te verspreiden: een VBScript of Microsoft Software Installer (MSI). ) bestand.
Trellix, dat de nieuwste versie van DarkGate (5.0.19) analyseerde, zei dat het “een nieuwe uitvoeringsketen introduceert met behulp van DLL side-loading en verbeterde shellcodes en laders.” Verder wordt het geleverd met een volledige herwerking van de RDP-functie voor wachtwoorddiefstal.
“De dreigingsactor heeft actief dreigingsrapporten in de gaten gehouden om snelle veranderingen door te voeren en zo detecties te omzeilen”, aldus beveiligingsonderzoekers Ernesto Fernández Provecho, Pham Duy Phuc, Ciana Driscoll en Vinoo Thomas.
“Het aanpassingsvermogen, de snelheid waarmee het zich herhaalt en de diepgang van de ontwijkingsmethoden getuigen van de verfijning van moderne malwarebedreigingen.”
De ontwikkeling komt doordat is waargenomen dat trojans voor externe toegang, zoals Agent Tesla en AsyncRAT, worden verspreid met behulp van nieuwe, op e-mail gebaseerde infectieketens die gebruik maken van steganografie en ongebruikelijke bestandstypen in een poging antivirusdetectiemaatregelen te omzeilen.
Het volgt ook op een rapport van het HUMAN Satori Threat Intelligence Team over hoe een bijgewerkte versie van een malware-verduisteringsengine genaamd ScrubCrypt (ook bekend als BatCloak) wordt gebruikt om de RedLine stealer-malware af te leveren.
“De nieuwe ScrubCrypt-build werd verkocht aan bedreigingsactoren op een klein handjevol dark web-marktplaatsen, waaronder Nulled Forum, Cracked Forum en Hack Forums”, aldus het bedrijf.
