GuLoader zlonamjerni softver iz oblaka
Sigurnosni istraživači su prijetili novu vezuju zlonamjernog softvera za preuzimanje GuLoader zasnovanog na komandnom okruženju, koji je jedan od najraširenijih zlonamjernih softvera. Sada dolazi sa potpuno šifrovanim aktivnim dijelom virusa i raznim tehnikama za izbjegavanje analize. Najnovija verzija zlonamjernog softvera za preuzimanje GuLoader može sakriven bez opasnosti od otkrivanja u dobro poznatim javnim uslugama u oblaku (uključujući i Google Drive).
Image by svstudioart on Freepik
GuLoader je do sada korišten u napadima visokog profila, uključujući Ryuk ransomware napade, koji su ciljali vladine agencije i druge velike organizacije. Takođe je korišten u napadima na zdravstvene organizacije, kao i u napadima usmjerenim na pojedince i mala preduzeća.
Nova verzija
GuLoader je jedan od najčešće korištenih zlonamjernih programa za preuzimanje koji sajber kriminalci koriste da bi izbjegli otkrivanje od strane antivirusnog softvera. Najnovija verzija koristi tehniku koja zamjenjuje kôda u legitimnom procesu, omogućavajući mu da izbjegne detekciju od strane bezbjednosnih alata za praćenje procesa.
Korištenjem Visual Basic skripte za preuzimanje šifrovanog komandnog okruženja iz oblaka, žrtve dobijaju manje sumnjivu datoteku, umanjujući vjerovatnoću pokretanja upozorenja. Korištenje šifrovanja, neobrađenog binarnog formata i odvajanje od programa za učitavanje čini aktivni dio virusa nevidljivim za antivirusne softvere, omogućavajući napadačima da zaobiđu antivirusnu zaštitu i iskoriste Google disk za skladištenje. U nekim slučajevima, ovi zlonamjerni sadržaji mogu ostati aktivni tokom dužeg vremenskog perioda.
“Javne alate i usluge sve više iskorišćavaju sajber kriminalci za isporuku i skladištenje zlonamjernih kampanja. Pouzdanost izvora više ne garantuje potpunu bezbjednost. Ovo naglašava hitnu potrebu za edukacijom o identifikovanju sumnjivih aktivnosti. Izričito savjetujemo da ne otkrivate lične podatke ili preuzimate priloge osim ako se potvrdi autentičnost i benigna priroda zahteva. Pored toga, ključno je imati napredna bezbjednosna rješenja kao što je Check Point Horizon KSDR/KSPR, koja mogu efikasno da identifikuju da li je navodno benigno ponašanje zapravo zlonamjerno, pružajući dodatni sloj zaštite od sofisticiranih prijetnji.”
Distribucija
GuLoader se obično širi putem phishing kampanja, gdje su žrtve prevarene da preuzmu i instaliraju zlonamjerni softver putem elektronske pošte ili veza koje sadrže datoteku Visual Basic skripte. Takođe se može distribuirati na druge načine, kao što su preuzimanja u prolazu (eng. drive-by), gdje se zlonamjerni softver isporučuje na računar žrtve preko Internet pregledača bez znanja žrtve.
Zaštita
Za organizacije je važno da budu aktive u zaštiti svojih sistema i podataka od ove vrste zlonamjernog softvera. Ovo se može postići primjenom kombinacije različitih bezbjednosnih alata kao što su mrežna barijera (eng. firewall) sljedeće generacije (Next Generation Firewall – NGFW), alat za bezbjednosne informacije i upravljanje događajima (Security Information and Event Management – SIEM) i softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) i najbolje bezbjednosne prakse na svakom sloju infrastrukture organizacije.
Zaključak
GuLoader je veoma efikasan i svestran zlonamjerni softver koji može da izbjegne otkrivanje i distribuira širok spektar zlonamjernih sadržaja. Sa svojom izuzetnom sposobnošću da provjerava anti-analizu u svakom koraku izvršenja, program za preuzimanje zlonamjernog softvera može stalno zaobilaziti bezbjednosne provjere i izbjeći da ga neka od bezbjednosnih rješenja otkriju. Zbog svoje sposobnosti da se sakrije, a da ne bude otkriven, predstavlja značajnu prijetnju za sve nivoe preduzeća, bilo da se radi o malom ili velikom preduzeću.
