Caçadores de ameaças revelaram os últimos truques adotados por uma cepa de malware chamada GuLoader, na tentativa de tornar a análise mais desafiadora.
"Embora a funcionalidade principal do GuLoader não tenha mudado drasticamente nos últimos anos, essas constantes atualizações em suas técnicas de ofuscação tornam a análise do GuLoader um processo demorado e intensivo em recursos", disse o pesquisador do Elastic Security Labs, Daniel Stepanic, em um relatório publicado nesta semana.
Detectado pela primeira vez no final de 2019, o GuLoader (também conhecido como CloudEyE) é um avançado downloader de malware baseado em shellcode que é usado para distribuir uma ampla gama de payloads, como ladrões de informações, enquanto incorpora uma série de técnicas sofisticadas de anti-análise para driblar soluções de segurança tradicionais.
Um fluxo constante de relatórios de código aberto sobre o malware nos últimos meses revelou que os atores de ameaças por trás dele continuaram a melhorar sua capacidade de burlar recursos de segurança existentes ou novos, ao lado de outros recursos implementados.
O GuLoader é normalmente disseminado através de campanhas de phishing, onde as vítimas são enganadas para baixar e instalar o malware através de e-mails que contêm arquivos ZIP ou links que contêm um arquivo de Script Visual Basic (VBScript).
A empresa israelense de cibersegurança Check Point, em setembro de 2023, revelou que "o GuLoader agora é vendido sob um novo nome na mesma plataforma que o Remcos e é implicitamente promovido como um crypter que torna sua payload totalmente indetectável pelos antivírus."
Uma das recentes alterações no malware é uma melhoria de uma técnica anti-análise revelada pela CrowdStroke em dezembro de 2022 e que se concentra na capacidade do GuLoader de Tratamento Excepcional Vetorado (VEH).
Está claro que o mecanismo foi detalhado anteriormente tanto pela McAfee Labs quanto pela Check Point em maio de 2023, com o primeiro afirmando que "o GuLoader emprega o VEH principalmente para ofuscar o fluxo de execução e retardar a análise."
O método "consiste em quebrar o fluxo normal de execução de código lançando deliberadamente um grande número de exceções e tratando-as em um manipulador de exceção vetorial que transfere o controle para um endereço calculado dinamicamente," disse a Check Point.
GuLoader está longe de ser a única família de malware a ter recebido atualizações constantes.
Outro exemplo notável é o DarkGate, um trojan de acesso remoto (RAT) que permite aos atacantes comprometer completamente os sistemas das vítimas.
Vendido como malware-como-serviço (MaaS) por um ator conhecido como RastaFarEye em fóruns underground por uma taxa mensal de 15 mil dólares, o malware usa e-mails de phishing contendo links para distribuir o vetor de infecção inicial: um arquivo VBScript ou Microsoft Software Installer (MSI).
Trellix, que analisou a última versão do DarkGate (5.0.19), disse que ele "introduz uma nova cadeia de execução usando side-loading DLL e shellcodes e loaders aprimorados."
Além disso, ele vem com uma reformulação completa do recurso de roubo de senha RDP.
Visão geral da cadeia de instalação multiestágio do DarkGate v5
"O ator da ameaça tem monitorado ativamente relatórios de ameaças para fazer mudanças rápidas, evitando assim detecções", disseram os pesquisadores de segurança Ernesto Fernández Provecho, Pham Duy Phuc, Ciana Driscoll e Vinoo Thomas.
"Sua adaptabilidade, a rapidez com que itera e a profundidade de seus métodos de evasão atestam a sofisticação das ameaças modernas de malware."
Essa evolução ocorre enquanto os trojans de acesso remoto, como o Agent Tesla e o AsyncRAT, são observados sendo propagados usando novas cadeias de infecção baseadas em e-mail que utilizam esteganografia e tipos de arquivos incomuns na tentativa de burlar as medidas de detecção de antivírus.
Também segue um relatório da equipe HUMAN Satori Threat Intelligence sobre como uma versão atualizada de um motor de ofuscação de malware chamado ScrubCrypt (também conhecido como BatCloak) está sendo usado para entregar o malware RedLine Stealer.
"A nova build do ScrubCrypt foi vendida para atores de ameaças em um punhado de mercados da dark web, incluindo o Fórum Nulled, Fórum Cracked e Hack Forums," disse a empresa.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...