Загрузчик GuLoader обладает широкими возможностями по обходу различных СЗИ и сред исполнения, включая виртуальные машины и песочницы. Обойдя средства защиты, GuLoader может загрузить на скомпрометированное устройство различное ВПО. Инструмент загружал на скомпрометированные устройства широкий спектр вредоносных программ, в том числе стилеры и трояны удаленного доступа. ВПО запускалось только после того, как GuLoader выполнял предварительную проверку среды исполнения. Это повышало шансы преступников на то, что вредоносная программа будет запущена не в виртуальной среде или песочнице, а на реальном устройстве, и помогало достичь цели атаки.
Целями атакующих, как правило, становились российские компании из сфер доставки и логистики, страхования и фармацевтики. Для доставки загрузчика использовались фишинговые письма. Чтобы сделать фишинг более правдоподобным и вызвать доверие у пользователей, злоумышленники рассылали письма от имени реальных компаний — промышленных предприятий, металлургических комбинатов, строительных компаний, почтовых и логистических организаций и так далее.
Во вложении к фишинговому письму был архив с исполняемым файлом формата PE-EXE (реже VBS). Если жертва запускала файл, загрузчик GuLoader устанавливался на устройство.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
- GuLoader обладает рядом особенностей. В его коде имеется весьма широкий арсенал как низкоуровневых, так и высокоуровневых техник и программных процедур, которые позволяют обходить средства защиты и среды исполнения, включая виртуальные машины и продукты класса sandbox. Также GuLoader примечателен тем, что в качестве основной нагрузки он может загружать самое разное ВПО — чаще всего трояны удаленного доступа, стилеры, а также инструменты, совмещающие обе функции
После запуска и NSIS-распаковки GuLoader начинает проводить различные проверки, чтобы избежать отладки, выполнения в песочнице или в виртуализированных средах. Если все проверки прошли успешно, система и исполняемая среда не были признаны виртуальной машиной или песочницей, а также не обнаружено факта отладки, GuLoader выкачивает зашифрованную вредоносную нагрузку с удаленного ресурса, расшифровывает ее, внедряет в адресное пространство процесса и передает управление на шелл-код.
GuLoader был создан в 2019–2020 годах, и с тех пор злоумышленники неоднократно его модернизировали. Разработчики этого ВПО постоянно улучшают возможности инструмента по уходу от обнаружения средствами защиты.
Чтобы эффективно противостоять современным кибератакам, необходимо получать актуальную информацию о ландшафте угроз. Для этого рекомендуется использовать порталы киберразведки. Эти данные позволят улучшить детект СЗИ и ускорить реагирование на инциденты.