2023: Как киберпреступники обходят антивирусы с помощью сервисов Google
22 мая 2023 года специалисты в области информационной безопасности из компании Check Point Software Technologies обнародовали результаты анализа зловреда GuLoader, который в процессе работы эксплуатирует облачные службы Google.
GuLoader — многофункциональный загрузчик вредоносных программ, впервые обнаруженный в 2019 году. Злоумышленники постоянно добавляют в GuLoader новые функции для обхода антивирусной защиты. В дополнение к шифрованию кода зловред использует множество других алгоритмов, включая средства обхода песочницы. Отличительной особенностью GuLoader является то, что зашифрованная полезная нагрузка загружается на удалённый сервер, в частности, на «Google Диск». В результате, хакеры могут использовать защищённый загрузчик на основе шелл-кода, который получает вредоносное ПО с сервера, расшифровывает и запускает код в памяти, не оставляя следов своей деятельности на накопителе компьютера.
Несмотря на усилия Google по блокировке зашифрованных вредоносных файлов, в большинстве случаев GuLoader обходит эту защиту. Усовершенствованные варианты зловреда основаны на языке сценариев VBScript и системе создания установочных программ NSIS. По данным Check Point, с конца 2022 года шелл-код GuLoader использует новую технику антианализа, которая заключается в нарушении нормальной последовательности выполнения путём преднамеренного создания большого количества исключений.
Отмечается, что улучшенная защита от обхода сделала GuLoader излюбленным инструментом среди злоумышленников для проведения кибератак на частных пользователей и организации. Загрузчик, в частности, применяется для распространения таких вредоносных программ, как Formbook, XLoader, Remcos, 404Keylogger, Lokibot, AgentTesla, NanoCore, NetWire и др.[1]
Примечания
