What is CloudEyE Malware?

CloudEyEは、GuLoaderとも呼ばれ、システムに侵入し、スティーラートロイの木馬、キーロガー、 およびリモートアクセスツール(RAT)をダウンロードするダウンローダーマルウェアです。 CloudEyE は Visual Basic で記述されており、主に OneDrive や Google ドライブなどの正規のサーバーを使用して、追加のペイロードを実行し、デバイスに配信します。

デモをリクエストする エンドポイント セキュリティ バイヤーズ ガイド

CloudEyE マルウェアはどのように機能しますか?

CloudEyEが効果的なのは、主にその浸透方法によるものです。 この 形式のマルウェアは 、開発者がWindowsインストーラーを作成するために一般的に使用するオープンソースのパッカーであるNullsoft Scriptable Install System(NSIS)パッカーを使用します。 マルウェアがNSISにパッケージ化されているため、ウイルス対策ソフトウェアがCloudEyEをシステムに侵入する前にスキャンして検出することははるかに困難になります。

CloudEyEは、NSISパッカーを使用してペイロードを圧縮し、さらにマルウェアを暗号化して難読化のレイヤーを追加します。 誰かがファイルを自分のコンピューターまたはデバイスにダウンロードすると、GuLoaderが実行され、 マルウェアを復号化して解凍し、システム上で実行してデバイスを侵害します。

CloudEyEは、デバイスにアクセスすると、デバイスを人質にする ランサムウェア や、脅威アクターがデバイスに直接アクセスできるようにする他のマルウェアなど、システムをさらに危険にさらす任意の数の追加のプログラムへのアクセスを提供できます。

CloudEyE が検出を回避できるもう 1 つの理由は、仮想化テクノロジとサンドボックスをスキャンするために 3 つの方法を使用することです。

  • VMツールのスキャン: VMツールは、開発者がマルウェア分析のための安全な環境を作成するのに役立ちます。 CloudEyE が VM ツールをスキャンし、VirtualBox、VMware、Flare VM などのこれらのツールのトレースを確認すると、実行に失敗します。
  • サンドボックススキャン: サンドボックスは、サイバーセキュリティの専門家がマルウェアを分離して調査するために使用する仮想化環境です。 CloudEyE はサンドボックスをスキャンし、検出された場合は実行を防止します。
  • デバッガスキャン: 最後に、CloudEyE は、x64dbg、WinDbg、OllyDbg などのシステム上の任意のデバッガーをスキャンします。 デバッガシステムが検出された場合、GuLoaderは実行されません。

これらのスキャンシステムが導入されていると、CloudEyEを検出することは非常に困難になり、サイバーセキュリティの研究者がマルウェアを特定、分離、研究して効果的な防御戦略を開発することはほぼ不可能になります。

引き起こされる可能性のある損害

個人が最初にその信頼性を確認せずにインターネットからファイルをダウンロードすると、CloudEyEなどのマルウェアをダウンロードする可能性があります。 たとえば、受信したフィッシングメールから通常のPDFファイルと思われるものをダウンロードすることができます。 実際には、このファイルは実際にはCloudEyEマルウェアを含む偽物である可能性があります。

彼らがGuLoaderをシステムにダウンロードすると、次の問題が発生する可能性があります。

  • データ流出: CloudEyE は、デバイスから個人データや機密データを記録するスティーラーをダウンロードできます。 ハッカーは、この流出したデータを販売するか、他のデバイスにアクセスするために使用することができます。
  • エントリポイントの作成: CloudEyE マルウェアは、ハッカーがシステムにさらに侵入する機会を生み出す可能性があります。 それは他の悪意のあるプログラムや活動の扉を開く可能性があります。
  • 茶茶: CloudEyEの主な目的ではありませんが、ハッカーはそれを使用してオペレーティングシステムを無効にしたり、デバイスをクラッシュさせたり、デバイスが正しく機能しないようにしたりすることもできます。 この形式の攻撃は、ビジネス効率を低下させ、従業員を苛立たせる可能性があります。
  • リソースの盗難: 効果的なサイバーセキュリティ監視ツールがなければ、企業はCloudEyEマルウェア攻撃のIOCに気付かない可能性があります。 これは、ハッカーがシステムへのアクセスを拡大し、それを利用してリソースを枯渇させたり、他の不正な目的に使用したりできることを意味している可能性があります。

CloudEyE は検出が非常に難しいため、その存在を監視しないシステムは、長期間にわたって侵害されたままになる可能性が高くなります。 これは、サイバーセキュリティチームが問題を解決する前に、上記の影響が1つではなく、すべて発生することを意味する可能性があります。

4 Best Practices for Mitigating CloudEyE マルウェア

ここでは、CloudEyE マルウェアとその被害から保護するためのベスト プラクティスをいくつか紹介します。

#1.VBScript ローダーの特定

CloudEyE がシステムに存在する最も初期の兆候は、VBScript ローダーのアクティブ化であり、これにより、悪意のあるペイロードをシステムにロードするプロセスが開始されます。 VBScript ローダーを特定し、その場で停止することで、 GuLoader がシステムで実行されるのを防ぐことができます。

#2:自動侵害チェッカーを使用する

マルウェアに対処する際の最も重要なステップの1つは、マルウェアをできるだけ早く検出することです。

早期に検出することで、チームは効果的な対応を開始するために必要な時間を確保できます。 侵害の兆候の抽出を自動化することで、CloudEyEの存在をできるだけ早く特定できます。

#3:教育を提供する

マルウェアがシステムに侵入するのを防ぐ最も簡単な方法は、従業員がそもそも悪意のあるファイルをダウンロードしないようにすることです。 ファイルの検査方法と、ダウンロード前にすべてのファイルに対してマルウェアスキャンを実行することの重要性についての教育を提供することで、ビジネスで発生するイベントの数を減らすことができます。

#4: エンドポイント セキュリティ を活用する

エンドポイント セキュリティ は、ビジネスが接触するファイルを調べることで、システムにセキュリティのレイヤーを追加します。 悪意のあるソフトウェアのヒントや痕跡がある場合、エンドポイント セキュリティ ソリューションはこれらのファイルのダウンロードをブロックし、侵入を防ぎます。

Checkpointによるマルウェアの防止

CloudEyE(GuLoader)マルウェアは、コンピューターシステムを危険にさらし、感染したデバイス上に存在し続ける可能性のある深刻な脅威です。 侵害されたデバイスに他のマルウェアをダウンロードする能力は、1つの小さな侵害が全社的なサイバーセキュリティ問題に変わることを意味します。

チェック・ポイント Harmony は、CloudEyE のような悪意のあるファイルを識別し、それらがシステムに侵入するのを防ぐことができるマルチレイヤー・エンドポイント セキュリティ ソリューションです。

ダイナミックなソリューションとして、Harmony Endpointはエンタープライズ環境での脅威の検出と防止を自動化できます。 Harmony Endpointがビジネスを安全に保つ方法については 、無料のデモを予約してご覧ください。

スタート

次世代ファイアウォール

Check Point Infinityによる完全ゼロ トラスト セキュリティ

高度なネットワーク脅威対策

サイバーセキュリティレポート2024

関連トピック

マルウェア対策

マルウェアの種類

クリプトマルウェア

モバイル マルウェア

Lokibot

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK