GuLoader est un type de cheval de Troie logiciel malveillant qui a été découvert pour la première fois en décembre 2019. Il agit généralement comme la première étape d’une chaîne d’infections de logiciels malveillants, téléchargeant et installant d’autres types de logiciels malveillants une fois qu’il a eu accès à un hôte. À l’origine, le logiciel malveillant téléchargeait Parallax RAT, mais il a évolué et s’est diversifié pour distribuer un large éventail de logiciels rançonneurs et de chevaux de Troie bancaires, notamment Netwire, FormBook et Agent Tesla.
GULoader est l'une des nombreuses menaces de Troie auxquelles les organisations sont confrontées. Ce qui distingue GULoader, ce sont ses capacités anti-détection et d'évasion. Le logiciel malveillant utilise une série de techniques pour échapper à la détection, notamment l’emballage, le chiffrement, l’évidement des processus et l’utilisation de sites légitimes comme infrastructure de commande et de contrôle.
GuLoader est un cheval de Troie d'accès à distance (RAT), ce qui signifie qu'il utilise des ruses et une apparence bénigne pour accéder à un système pour la première fois. Les vecteurs d’infection courants de GuLoader comprennent les téléchargements intempestifs et les campagnes d’hameçonnage.
GULoader est également connu pour son processus d'infection en trois étapes. Dans un premier temps, il accède et persiste grâce à des clés de registre modifiées. Au cours de la deuxième étape, le logiciel malveillant inspecte son environnement à la recherche de signes d’outils d’analyse avant d’injecter du shellcode dans la mémoire. Cette injection se fait par le biais d'un processus, et le shellcode est crypté et polymorphe, ce qui le rend plus difficile à détecter et à corriger. La dernière étape utilise le shellcode injecté pour télécharger et exécuter le dernier exécutable malveillant. GuLoader peut également télécharger et déployer un large éventail d’autres variantes de logiciels malveillants, ce qui augmente considérablement la menace potentielle qu’il représente pour une organisation.
GuLoader échappe à la détection via une variété de mécanismes différents, y compris l’utilisation du chiffrement, de l’empaquetage et du code polymorphe. De plus, GULoader télécharge son code malveillant depuis des sites Web légitimes. En fait, la version moderne de GuLoader peut télécharger des charges utiles cryptées à partir de Google Drive et d’autres systèmes de stockage cloud . Ce chiffrement permet au logiciel malveillant de passer à travers les scanners des fournisseurs de cloud et augmente la durée de vie effective du logiciel malveillant.
L'un des principaux arguments de vente de GULoader pour les cybercriminels est qu'il est hautement personnalisable. L’opérateur du logiciel malveillant peut configurer l’apparence et le comportement du logiciel malveillant en tirant parti de sa conception modulaire et en téléchargeant des charges utiles hébergées dans le cloud.
Les applications potentielles de GuLoader sont presque illimitées en raison du fait qu’il peut être configuré pour télécharger et déployer d’autres variantes de logiciels malveillants. En fait, GuLoader est actuellement connu pour distribuer un large éventail de logiciels malveillants, notamment :
GuLoader est un cheval de Troie adaptable et très efficace qui est toujours en cours de développement après plus de trois ans d'exploitation. Cependant, les organisations peuvent prendre des mesures pour se protéger et protéger leurs employés contre cette menace malveillante de logiciel. Voici un certain nombre de bonnes pratiques pour se protéger contre GuLoader et les logiciels malveillants similaires :
GULoader est un cheval de Troie actif depuis 2019, qui a fait l'objet de plusieurs mises à jour pour y ajouter de nouvelles fonctionnalités. Par conséquent, il s’agit d’une variante de logiciel malveillant très efficace qui peut être difficile à détecter et à supprimer sur un système infecté.
Cependant, GuLoader n’est également qu’une des nombreuses menaces de logiciels malveillants auxquelles les entreprises sont confrontées. De plus, le paysage des cybermenaces s’étend bien au-delà de la menace des logiciels malveillants, et les entreprises sont confrontées à divers défis en matière de cybersécurité. Une stratégie de cybersécurité efficace repose sur une compréhension complète des cyberrisques et menaces potentiels auxquels une organisation est confrontée. Et n’oubliez pas de consulter le Rapport sur la cybersécurité 2023 de Check Point pour en savoir plus sur le paysage actuel des cybermenaces.
Check Point a effectué des recherches approfondies sur GuLoader, et les résultats de cette recherche sont intégrés dans les produits de sécurité Check Point. Check Point Harmony Endpoint offre une protection solide contre GuLoader, les variantes de logiciels malveillants qu’il délivre et les autres menaces de logiciels malveillants et de Sécurité des postes auxquelles les organisations sont confrontées. Pour plus d’informations sur Harmony Endpoint et son rôle dans la stratégie de logiciels malveillants et de sécurité des postes de votre organisation, essayez une démo dès aujourd’hui.
Livraison de logiciels malveillants basés sur le cloud : l’évolution de GuLoader