What is CloudEyE Malware?

CloudEyE, noto anche come GuLoader, è un malware downloader che entra in un sistema e quindi scarica trojan stealer, keylogger e strumenti di accesso remoto (RAT). CloudEyE è scritto in Visual Basic e utilizza principalmente server legittimi come OneDrive o Google Drive per eseguire e fornire payload aggiuntivi al dispositivo.

Richiedi una Demo Endpoint Security Guida all'acquisto

Come funziona il malware CloudEyE?

CloudEyE è efficace principalmente grazie al suo metodo di infiltrazione. Questa forma di malware utilizza il packer Nullsoft Scriptable Install System (NSIS), un packer open source che gli sviluppatori utilizzano comunemente per creare programmi di installazione di Windows. Poiché il malware è confezionato con NSIS, diventa molto più difficile per il software antivirus scansionare e rilevare CloudEyE prima che si infiltri in un sistema.

CloudEyE comprime il suo payload utilizzando il packer NSIS, quindi crittografa ulteriormente il suo malware per offrire un ulteriore livello di offuscamento. Quando qualcuno scarica il file sul proprio computer o dispositivo, GuLoader verrà eseguito, decrittografando il malware, decomprimendolo e quindi eseguendolo sul sistema per compromettere il dispositivo.

Una volta su un dispositivo, CloudEyE può fornire l'accesso a un numero qualsiasi di programmi aggiuntivi che compromettono ulteriormente un sistema, come il ransomware che tiene in ostaggio il dispositivo o altri malware che forniscono l'accesso diretto agli attori delle minacce al dispositivo.

Un altro motivo per cui CloudEyE è in grado di eludere il rilevamento è che utilizza tre metodi per eseguire la scansione della tecnologia di virtualizzazione e delle sandbox:

  • Scansione dello strumento VM: Gli strumenti VM aiutano gli sviluppatori a creare ambienti sicuri per l'analisi del malware. Se CloudEyE esegue la scansione degli strumenti VM e rileva tracce di uno di questi strumenti, come VirtualBox, VMware o Flare VM, l'esecuzione non riuscita.
  • Scansione sandbox: Le sandbox sono ambienti virtualizzati che gli esperti di sicurezza informatica utilizzano per isolare il malware e quindi esaminarlo. CloudEyE eseguirà la scansione delle sandbox e ne impedirà l'esecuzione se ne rileva alcune.
  • Scansione del debugger: Infine, CloudEyE eseguirà la scansione di eventuali debugger su un sistema, ad esempio x64dbg, WinDbg e OllyDbg. Se viene rilevato un sistema debugger, GuLoader non verrà eseguito.

Con questi sistemi di scansione in atto, è estremamente difficile rilevare CloudEyE, rendendo quasi impossibile per i ricercatori di sicurezza informatica identificare, isolare e studiare il malware per sviluppare strategie difensive efficaci.

Potenziali danni causati

Quando un individuo scarica un file da Internet senza prima verificarne l'autenticità, può scaricare malware come CloudEyE. Ad esempio, potrebbero scaricare quello che sembra un normale file PDF da un'e-mail di phishing che ricevono. In realtà, questo file potrebbe essere un falso che in realtà include il malware CloudEyE.

Una volta scaricato GuLoader sul proprio sistema, può causare i seguenti problemi:

  • Esfiltrazione dei dati: CloudEyE può scaricare ladri che registreranno dati personali o sensibili da un dispositivo. Gli hacker possono vendere questi dati esfiltrati o utilizzarli per ottenere l'accesso ad altri dispositivi.
  • Creazione di punti di ingresso: Il malware CloudEyE può creare opportunità per gli hacker di creare ulteriori punti di accesso al tuo sistema. Può aprire la porta ad altri programmi e attività dannose.
  • Rottura: Sebbene non sia lo scopo principale di CloudEyE, gli hacker potrebbero anche utilizzarlo per disabilitare i sistemi operativi, mandare in crash il dispositivo o impedirne il corretto funzionamento. Questa forma di attacco può ridurre l'efficienza aziendale e frustrare i dipendenti.
  • Furto di risorse: Senza strumenti efficaci di monitoraggio della sicurezza informatica, le aziende potrebbero non notare gli IOC di un attacco malware CloudEyE. Ciò potrebbe significare che gli hacker hanno un accesso esteso ai tuoi sistemi, che possono sfruttare per prosciugare le tue risorse o utilizzarle per altri scopi illeciti.

A causa della difficoltà di rilevamento di CloudEyE, è molto probabile che un sistema che non monitora la sua presenza possa rimanere compromesso per un lungo periodo di tempo. Ciò potrebbe significare che tutti gli impatti di cui sopra si verificano, piuttosto che uno solo, prima che un team di sicurezza informatica risolva il problema.

4 best practice per mitigare il malware CloudEyE

Ecco alcune best practice che possono aiutare a proteggersi dal malware CloudEyE e dai danni che può causare:

#1. Identificare il caricatore VBScript

Il primo segno che CloudEyE è presente in un sistema sarebbe l'attivazione del VBScript Loader, che inizierà quindi il processo di caricamento di un payload dannoso nel sistema. Identificando il caricatore VBScript e fermandolo sul nascere, puoi impedire l'esecuzione di GuLoader sul tuo sistema.

#2: Usa i controllori di compromesso automatizzati

Uno dei passaggi più importanti quando si ha a che fare con il malware è assicurarsi di rilevarlo il prima possibile.

La diagnosi precoce darà al tuo team il tempo di cui ha bisogno per organizzare una risposta efficace. Automatizzando l'estrazione di eventuali indicatori di compromissione, sarai in grado di identificare la presenza di CloudEyE il più rapidamente possibile.

#3: Offri formazione

Il modo più semplice per impedire al malware di entrare nei tuoi sistemi è assicurarsi che i dipendenti non scarichino file dannosi in primo luogo. Offrire formazione su come ispezionare i file e sull'importanza di eseguire la scansione malware su tutti i file prima del download contribuirà a ridurre il numero di eventi che la tua azienda sperimenta.

#4: Utilizza Endpoint Security

Endpoint Security aggiungerà livelli di sicurezza al tuo sistema esaminando tutti i file con cui la tua azienda entra in contatto. Quando ci sono indizi o tracce di software dannoso, le soluzioni Endpoint Security bloccheranno il download di questi file e ne impediranno l'infiltrazione.

Prevenire il malware con Checkpoint

Il malware CloudEyE (GuLoader) è una seria minaccia che può compromettere i sistemi informatici e continuare a esistere su un dispositivo infetto. La sua capacità di scaricare altro malware su un dispositivo compromesso può significare che una piccola violazione si trasforma in un problema di sicurezza informatica a livello aziendale.

Check Point Harmony è una soluzione di sicurezza degli endpoint multilivello in grado di identificare file dannosi come CloudEyE e impedirne l'ingresso nel sistema.

Come soluzione dinamica, Harmony Endpoint può automatizzare il rilevamento e la prevenzione delle minacce nell'ambiente aziendale. Scopri di più su come Harmony Endpoint può proteggere la tua azienda prenotando una demo gratuita.

Per iniziare

Firewall di Nuova Generazione

Zero Trust Security

Prevenzione Avanzata dalle Minacce di Rete

Rapporto sulla sicurezza informatica 2024

Argomenti correlati

Malware

Tipi di malware

Crittografia malware

Malware mobile

LokiBot

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK