GuLoader è un RAT, che si basa sull’inganno e sull’apparenza benigna per ottenere l’accesso iniziale a un sistema. Questo malware è noto per il suo processo di infezione in tre fasi e la capacità di scaricare e distribuire una vasta gamma di varianti di malware.
Come funziona GuLoader
Le principali vettori di infezione di GuLoader includono download drive-by e campagne di phishing. GuLoader è noto per il suo processo di infezione in tre fasi. Nella prima fase, ottiene l’accesso e persistenza tramite chiavi di registro modificate. Nella seconda fase, il malware controlla l’ambiente alla ricerca di strumenti di analisi prima di iniettare shellcode nella memoria. Questa iniezione avviene tramite “process hollowing”, e lo shellcode è criptato e polimorfico. Nella fase finale, utilizza lo shellcode iniettato per scaricare ed eseguire l’eseguibile finale. GuLoader può anche scaricare e distribuire una vasta gamma di altre varianti di malware.
Usi di GuLoader
Uno dei principali punti di forza di GuLoader per i cybercriminali è la sua alta personalizzabilità. Può essere configurato per scaricare e distribuire altre varianti di malware. Attualmente, si sa che GuLoader distribuisce una vasta gamma di malware, tra cui:
- Formbook
- XLoader
- Remcos
- 404Keylogger
- Lokibot
- AgentTesla
- NanoCore
- NetWire
Come proteggersi
GuLoader è un trojan altamente efficace e adattabile che rimane in attivo sviluppo da oltre tre anni. Tuttavia, le organizzazioni possono adottare misure per proteggersi da questa minaccia. Alcune delle migliori pratiche per proteggersi da GuLoader e minacce simili includono:
- Formazione dei dipendenti: GuLoader si basa sull’inganno, fingendo di essere un file legittimo. Formare gli utenti a identificare e evitare truffe di phishing e download drive-by può aiutare a ridurre il rischio di infezione.
- Sicurezza degli endpoint: GuLoader utilizza varie tecniche di evasione, ma mostra anche comportamenti sospetti e malevoli su un sistema infetto. Le soluzioni di sicurezza degli endpoint dovrebbero essere in grado di rilevare e bloccare un’infezione malware prima che causi danni significativi.
- Sicurezza delle email: Le email di phishing sono un meccanismo di infezione primario per GuLoader. Gli scanner di posta elettronica potrebbero essere in grado di identificare e bloccare le email che trasportano il malware GuLoader prima che possano raggiungere la casella di posta degli utenti.
- Sicurezza web: GuLoader viene anche distribuito tramite download drive-by. Le soluzioni di sicurezza web possono identificare segni di un sito web malevolo e bloccare download sospetti.