GuLoader Malware

GuLoader es un tipo de malware troyano que se descubrió por primera vez en diciembre de 2019. Suele actuar como primera etapa en una cadena de infecciones de malware, descargando e instalando otros tipos de malware una vez que ha conseguido acceder a un host. El malware descargó originalmente Parallax RAT, pero evolucionó y se diversificó para distribuir una amplia gama de ransomware y troyanos bancarios, incluidos Netwire, FormBook y Agent Tesla.

GuLoader es una de las varias amenazas troyanas a las que se enfrentan las organizaciones. Donde GuLoader destaca es en sus capacidades de detección y evasión. El malware utiliza una serie de técnicas para eludir la detección, como el empaquetado, el cifrado, el vaciado de procesos y el uso de sitios legítimos como infraestructura de mando y control.

Lea el informe de seguridad Solicite una demostración

¿Cómo funciona GuLoader?

GuLoader es un troyano de acceso remoto (RAT), lo que significa que se basa en trucos y parece benigno para obtener acceso inicial a un sistema. Entre los vectores de infección más comunes de GuLoader se encuentran las descargas drive-by y las campañas de phishing.

 

GuLoader también es conocido por su proceso de infección en tres etapas. En la primera etapa, primero obtiene acceso y logra la persistencia a través de claves de registro modificadas. Durante la segunda fase, el malware inspecciona su entorno en busca de signos de herramientas de análisis antes de inyectar shellcode en la memoria. Esta inyección se logra a través del vaciado del proceso, y el shellcode está encriptado y es polimórfico, lo que dificulta su detección y corrección. La etapa final utiliza el shellcode inyectado para descargar y ejecutar el ejecutable malicioso final. GuLoader también puede descargar y desplegar una amplia gama de otras variantes de malware, lo que aumenta drásticamente la amenaza potencial que supone para una organización.

GuLoader evade la detección a través de una variedad de mecanismos diferentes, incluyendo el uso de cifrado, empaquetado y código polimórfico. Además, GuLoader descarga su código malicioso de sitios web legítimos. De hecho, la versión moderna de GuLoader puede descargar cargas útiles cifradas de Google Drive y otros sistemas de almacenamiento en la nube. Este cifrado hace posible que el malware eluda los escáneres de los proveedores de la nube y aumenta la vida útil efectiva del malware.

Los usos de GuLoader

Uno de los principales puntos de venta de GuLoader para los ciberdelincuentes es que es altamente personalizable. El operador de malware puede configurar la apariencia y el comportamiento de malware aprovechando su diseño modular y descargando cargas útiles alojadas en la nube.

Las posibilidades de aplicación de GuLoader son casi ilimitadas debido a que puede configurarse para descargar y desplegar otras variantes de malware. De hecho, GuLoader es conocido actualmente por distribuir una amplia gama de malware, incluyendo:

  • Formbook
  • XLoader
  • Remcos
  • 404Registrador de teclas
  • LokiBot
  • AgentTesla
  • NanoCore
  • NetWire (en inglés)

Cómo proteger

GuLoader es un caballo de Troya adaptable y altamente efectivo que permanece en desarrollo activo después de más de tres años en funcionamiento. Sin embargo, las organizaciones pueden tomar medidas para protegerse a sí mismas y a sus empleados contra esta amenaza de malware. Entre las mejores prácticas para protegerse contra GuLoader y amenazas de malware similares se incluyen:

  • Educación de los empleados: Como malware troyano, GuLoader se basa en el engaño y el camuflaje, haciéndose pasar por un archivo legítimo. Formar a los usuarios para que identifiquen y eviten el phishing estafa y las descargas drive-by puede ayudar a reducir el riesgo de infección.
  • seguridad de terminales: GuLoader utiliza varias técnicas de evasión, pero también se involucra en varios comportamientos sospechosos y maliciosos en un sistema infectado. Las soluciones de seguridad de terminales deben ser capaces de detectar y bloquear una infección de malware antes de que cause daños significativos a la organización.
  • Seguridad de correo electrónico: Los correos electrónicos de phishing son uno de los principales mecanismos de infección de GuLoader. Los escáneres de correo electrónico pueden ser capaces de identificar y luego bloquear los correos electrónicos portadores del malware GuLoader antes de que lleguen a las bandejas de entrada de los usuarios.
  • Seguridad web: GuLoader también se distribuye comúnmente a través de descargas no autorizadas. Las soluciones de seguridad web pueden identificar los signos de un sitio web malicioso y bloquear las descargas sospechosas, impidiendo que el malware troyano llegue a los sistemas del usuario final.

Detección y protección de malware GuLoader con Check Point

GuLoader es un troyano que ha estado en funcionamiento activo desde 2019 y ha sufrido varias actualizaciones para agregar nuevas capacidades. Como resultado, se trata de una variante de malware muy eficaz que puede resultar difícil de detectar y eliminar en un sistema infectado.

Sin embargo, GuLoader es sólo una de las diversas amenazas de malware a las que se enfrentan las empresas. Además, el panorama de las ciberamenazas va mucho más allá de la amenaza del malware, y las empresas se enfrentan a diversos retos de ciberseguridad. Una estrategia de ciberseguridad eficaz se basa en una comprensión completa de los posibles riesgos y amenazas cibernéticas a los que se enfrenta una organización. Y no deje de consultar el Informe sobre ciberseguridad 2023 de Check Point para obtener más información sobre el panorama actual de las ciberamenazas.

Check Point ha realizado una investigación en profundidad sobre GuLoader, y las conclusiones de esta investigación se incorporan a los productos de seguridad de Check Point. Check Point Harmony Endpoint ofrece una sólida protección frente a GuLoader, las variantes de malware que ofrece y las demás amenazas de malware y seguridad de terminales a las que se enfrentan las organizaciones. Para obtener más información sobre Harmony Endpoint y su papel en la estrategia contra el malware y de seguridad de terminales de su organización, pruebe una demostración hoy mismo.

Temas relacionados

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.