- 9,340
- 18
- 8 Ноя 2022
Вредонос получил обновления и изменения в векторе продаж.
Компания Elastic Security Labs Для просмотра ссылки Войдиили Зарегистрируйся новые приемы вредоносного ПО GuLoader , которые усложняют анализ и обнаружение угрозы. Основная функциональность GuLoader, впервые обнаруженного в конце 2019 года, не претерпела значительных изменений за последние годы, однако постоянное Для просмотра ссылки Войди или Зарегистрируйся делает его анализ затратным по времени и ресурсам.
GuLoader (CloudEyE) является продвинутым загрузчиком вредоносного кода на основе шелл-кода , распространяемым через фишинговые кампании. Он используется для доставки различных видов вредоносных программ, включая кражу информации, и включает в себя сложные техники антианализа для обхода традиционных решений безопасности.
Отмечается, что GuLoader теперь продается под новым именем на той же платформе, что и Remcos, и рекламируется как криптор , который делает его полезную нагрузку полностью невидимой для антивирусов.
Одно из последних изменений в GuLoader – улучшение техники антианализа, основанной на использовании Vectored Exception Handling ( VEH ). Метод состоит в нарушении нормального потока выполнения кода путем преднамеренной генерации большого количества исключений и их обработки в векторном обработчике исключений, который передает управление на динамически вычисляемый адрес.
GuLoader – не единственное вредоносное ПО, получающее постоянные обновления. Другой пример – DarkGate, троян удаленного доступа (Remote Access Trojan, RAT ), который позволяет атакующим полностью компрометировать системы жертв. Продаваемый по модели «вредоносное ПО услуга» (Malware-as-a-Service, MaaS ) за $15 000 в месяц, DarkGate использует фишинговые письма, содержащие ссылки для распространения начального вектора заражения: файл VBScript или Microsoft Software Installer (MSI).
В последней версии DarkGate (5.0.19) Для просмотра ссылки Войдиили Зарегистрируйся новый механизм выполнения с использованием боковой загрузки DLL ( DLL Sideloading ), улучшенных шелл-кодов и загрузчиков, а также полностью переработанная функция кражи паролей RDP .
Компания Elastic Security Labs Для просмотра ссылки Войди
GuLoader (CloudEyE) является продвинутым загрузчиком вредоносного кода на основе шелл-кода , распространяемым через фишинговые кампании. Он используется для доставки различных видов вредоносных программ, включая кражу информации, и включает в себя сложные техники антианализа для обхода традиционных решений безопасности.
Отмечается, что GuLoader теперь продается под новым именем на той же платформе, что и Remcos, и рекламируется как криптор , который делает его полезную нагрузку полностью невидимой для антивирусов.
Одно из последних изменений в GuLoader – улучшение техники антианализа, основанной на использовании Vectored Exception Handling ( VEH ). Метод состоит в нарушении нормального потока выполнения кода путем преднамеренной генерации большого количества исключений и их обработки в векторном обработчике исключений, который передает управление на динамически вычисляемый адрес.
GuLoader – не единственное вредоносное ПО, получающее постоянные обновления. Другой пример – DarkGate, троян удаленного доступа (Remote Access Trojan, RAT ), который позволяет атакующим полностью компрометировать системы жертв. Продаваемый по модели «вредоносное ПО услуга» (Malware-as-a-Service, MaaS ) за $15 000 в месяц, DarkGate использует фишинговые письма, содержащие ссылки для распространения начального вектора заражения: файл VBScript или Microsoft Software Installer (MSI).
В последней версии DarkGate (5.0.19) Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
