В 2024 г. специалисты BI.ZONE обнаружили почти невидимый загрузчик GuLoader, рассылаемый в российские организации. Инструмент загружал на скомпрометированные устройства широкий спектр вредоносного ПО, включая стилеры и трояны удаленного доступа. ВПО запускается только после того, как GuLoader выполнял предварительную проверку среды исполнения. Эта тактика повышала шансы преступников, что вредонос будет запущен не в виртуальной среде или «песочнице», а на реальном устройстве.
В первую очередь, объектами атак стали компании из сферы доставки, логистики, страхования и фармацевтики. Загрузчик проникает в жертву «по классике» – через фишинговое письмо. Чтобы фишинг был более правдоподобным, рассылка имитирует письма от реальных компаний — промпредприятий, строительных компаний, почтовых и логистических организаций и пр.
Вложением к зараженному письму идет архив с исполняемым файлом формата PE-EXE (реже VBS). Когда жертва запускала файл, GuLoader устанавливался на устройство.
Далее GuLoader загружал с удаленного ресурса зашифрованную вредоносную нагрузку, расшифровывал ее, внедрял в адресное пространство процесса и передавал управление на шелл-код.
Загрузчик опасен тем, что умеет противостоять средствам обнаружения. Разработчики GuLoader непрерывно улучшают его возможности по скрытию от защиты.
Чтобы противостоять кибератакам, для начала необходимо знать актуальную информацию об актуальных типах угроз. Для этого стоит пользоваться порталами киберразведки, например, BI.ZONE Threat Intelligence.