GuLoader Malware

GuLoader è un tipo di malware trojan scoperto per la prima volta a dicembre 2019. Agisce comunemente come la prima fase di una catena di infezioni malware, scaricando e installando altri tipi di malware una volta ottenuto l'accesso a un host. Il malware originariamente scaricava Parallax RAT ma si è evoluto e ramificato per distribuire un'ampia gamma di ransomware e trojan bancari, tra cui Netwire, FormBook e Agent Tesla.

GuLoader è una delle numerose minacce trojan che le organizzazioni devono affrontare. Dove GuLoader si distingue sono le sue capacità di anti-rilevamento ed evasione. Il malware utilizza una serie di tecniche per eludere il rilevamento, tra cui compressione, crittografia, svuotamento dei processi e utilizzo di siti legittimi come infrastruttura di comando e controllo.

Read the Security Report Richiedi una Demo

Come funziona GuLoader?

GuLoader è un trojan di accesso remoto (RAT), il che significa che si basa su inganni e sembra benigno per ottenere l'accesso iniziale a un sistema. I vettori comuni di infezione da GuLoader includono download drive-by e campagne di phishing.

 

GuLoader è anche noto per il suo processo di infezione in tre fasi. Nella prima fase, ottiene prima l'accesso e ottiene la persistenza tramite chiavi del Registro di sistema modificate. Durante la seconda fase, il malware controlla il suo ambiente alla ricerca di segni di strumenti di analisi prima di iniettare lo shellcode in memoria. Questa iniezione viene eseguita tramite lo svuotamento del processo e lo shellcode è crittografato e polimorfico, rendendo più difficile il rilevamento e la correzione. La fase finale utilizza lo shellcode iniettato per scaricare ed eseguire l'eseguibile dannoso finale. GuLoader può anche scaricare e distribuire un'ampia gamma di altre varianti di malware, aumentando notevolmente la potenziale minaccia che rappresenta per un'organizzazione.

GuLoader elude il rilevamento tramite una varietà di meccanismi diversi, incluso l'uso della crittografia, dell'impacchettamento e del codice polimorfico. Inoltre, GuLoader scarica il suo codice dannoso da siti Web legittimi. Infatti, la versione moderna di GuLoader può scaricare payload crittografati da Google Drive e altri sistemi di archiviazione cloud. Questa crittografia consente al malware di sfuggire agli scanner dei fornitori di servizi cloud e aumenta la durata effettiva del malware.

Gli usi di GuLoader

Uno dei principali punti di forza di GuLoader per i criminali informatici è che è altamente personalizzabile. L'operatore del malware può configurare l'aspetto e il comportamento del malware sfruttando la sua struttura modulare e scaricando i payload ospitati nel cloud.

Il potenziale dell'applicazione GuLoader è quasi illimitato poiché può essere configurato per scaricare e distribuire altre varianti di malware. Infatti, GuLoader è attualmente noto per distribuire un'ampia gamma di malware, tra cui:

  • Formbook
  • XLoader
  • Remcos
  • 404Registratore di chiavi
  • LokiBot
  • AgentTesla
  • NanoCore
  • Rete metallica

Come proteggersi

GuLoader è un cavallo di adattabile e altamente efficace che rimane in fase di sviluppo attivo dopo oltre tre anni di funzionamento. Tuttavia, le organizzazioni possono adottare misure per proteggere se stesse e i propri dipendenti da questa minaccia malware. Una serie di best practice per la protezione da GuLoader e minacce malware simili includono:

  • Formazione dei dipendenti: in quanto malware trojan, GuLoader si affida ad inganni e camuffamenti, fingendo di essere un file legittimo. Formare gli utenti a identificare ed evitare truffe di phishing e download drive-by può aiutare a ridurre il rischio di infezione.
  • Sicurezza degli Endpoint: GuLoader utilizza varie tecniche di evasione, ma si impegna anche in diversi comportamenti sospetti e dannosi su un sistema infetto. Le soluzioni Endpoint Security dovrebbero essere in grado di rilevare e bloccare un'infezione malware prima che causi danni significativi all'organizzazione.
  • Email Security: Le e-mail di phishing sono un meccanismo primario di infezione di GuLoader. Gli scanner delle e-mail potrebbero essere in grado di identificare e quindi bloccare le e-mail contenenti il malware GuLoader prima che possano raggiungere le caselle di posta degli utenti.
  • Sicurezza web: GuLoader è anche comunemente distribuito tramite download drive-by. Le soluzioni di sicurezza Web possono identificare i segni di un sito Web dannoso e bloccare download sospetti, impedendo al malware trojan di spostarsi nei sistemi di un utente finale.

Rilevamento e protezione malware GuLoader con Check Point

GuLoader è un trojan attivo dal 2019 e ha subito diversi aggiornamenti per aggiungere nuove funzionalità. Di conseguenza, si tratta di una variante di malware altamente efficace che può essere difficile da rilevare e rimuovere su un sistema infetto.

Tuttavia, GuLoader è anche solo una delle numerose minacce malware che le aziende devono affrontare. Inoltre, il panorama delle minacce informatiche va ben oltre la minaccia malware e le aziende si trovano ad affrontare diverse sfide in termini di sicurezza informatica . Una strategia di sicurezza informatica efficace è quella basata su una piena comprensione dei potenziali rischi e minacce informatiche che un'organizzazione deve affrontare. E assicurati di controllare il Cyber Security Report 2023 di Check Point per saperne di più sull’attuale panorama delle minacce informatiche.

Check Point ha effettuato ricerche approfondite su GuLoader e gli approfondimenti di questa ricerca sono incorporati nei prodotti di sicurezza Check Point. Check Point Harmony Endpoint offre una solida protezione contro GuLoader, le varianti di malware che fornisce e altre minacce malware e Endpoint Security che le organizzazioni devono affrontare. Per ulteriori informazioni su Harmony Endpoint e sul suo ruolo nella strategia antimalware e Endpoint Security della tua organizzazione, prova oggi stesso una demo .

Argomenti correlati

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK