Morphisec Laboratuarlarındaki siber güvenlik araştırmacıları, bu yılın Nisan ayından bu yana GuLoader kampanyasını izliyorlar ve kampanyanın ABD merkezli hukuk firmalarının yanı sıra aşağıdakiler gibi birkaç başka sektörü aktif olarak hedef aldığını tespit ettiler:-
- Sağlık hizmeti
- Yatırım firmaları
GuLoader (namı diğer ‘Cloudeye’) üç yılı aşkın bir süredir aktiftir, hâlâ gelişmeye devam etmektedir ve çeşitli anti-analiz yöntemleri kullanarak güvenlik analistlerine onu analiz etmeleri için meydan okumaktadır.
.png
)
GuLoader, aşağıdakiler gibi birden çok kötü amaçlı yazılım ailesini dağıtmasıyla ünlüdür: –
- Net Tel
- Lokibot
- Xloader
- Remcos
GuLoader, aşağıdakiler gibi güvenilir platformları kullanarak yükü indirir: –
- Google sürücü
- OneDrive
- Bulut
Bu kampanyada GuLoader operatörleri, Remcos RAT’ı (uzaktan erişim truva atı) teslim etmek için indirme kaynağı olarak ‘github.io’yu kullandı.
GuLoader Kötü Amaçlı Yazılımı Enfeksiyon Zinciri
Şifreli PDF eki, şifre çözme için e-postada sağlanan bir PIN ile birlikte gelir ve kurbanı katıştırılmış bir simgeye tıklayıp işlemi başlatmaya teşvik eder.
Simge tıklandığında, kullanıcı tıklamalarıyla ilgili istatistikleri ve meta verileri izlemek ve toplamak için çevrimiçi reklamlarda yaygın olarak kullanılan, Google’ın popüler adclick hizmeti DoubleClick aracılığıyla kullanıcıları nihai URL’ye yönlendirir.
Tehdit aktörleri bunu muhtemelen kötü niyetli kampanyalarının etkinliğini değerlendirmek için kullanıyor. Kullanıcıdan yönlendirilen URL’ye daha önce gönderilen PIN’i girmesi istenir ve PIN’in sağlanmasının ardından ilerlemek için bir GuLoader VBScript indirilir.
GuLoader VBScript, gizleme, rastgele yorumlar ve atlanan gereksiz satırlar içerir. Burada, ortaya çıkan kodun kodu çözülür ve bir Powershell betiği yürütülür.
Powershell’in 32 bit sürümünü kullanan Powershell betiği, 2. aşama Powershell betiğinin kodunu çözer ve çalıştırır. Bu 2. aşama komut dosyası, mantıksal kodun varlığı nedeniyle GuLoader kabuk kodunun indirilmesinden sorumlu olan XOR kodlu diziler içerir.
Burada GuLoader kabuk kodu, ‘github.io’dan getirilen iki kısma ayrılmıştır ve burada aşağıda belirtilmiştir: –
- Kabuk kodunun şifresini çözme
- Şifreli kabuk kodu
Daha sonra şifrelenmiş kabuk kodu ve ‘NtProtectVirtualMemory’ ile ‘CallWindowProcA’ya bir geri arama işlevi olarak geçirilerek bağımsız değişken olarak çağrılır. Kabuk kodunun temel rolü, son yükü indirerek ve şifresini çözerek ‘ieinstal.exe’ işlemine enjekte etmektir.
Ayrıca, arka planda Remcos RAT’ı tetikleyen ve çalıştıran ve “404 Sayfa bulunamadı” hatası veren kötü amaçlı bir PDF’yi alıp açar.
Kimlik avı kampanyalarında, GuLoader sıklıkla bir kötü amaçlı yazılım yükleyici olarak ortaya çıkar. En gelişmiş indiriciler arasında, bulut barındırma platformlarından yükler getirir ve şaşırtıcı bir şekilde bu kampanya normal bir URL kullanır.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.