Зловмисне програмне забезпечення #GuLoader
Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять у тілі листа стилізоване під ярлик документу pdf зображення з активним посиланням на завантаження архіву із шкідливим програмним забезпеченням.
Зразок електронного повідомлення:
Детальний опис:
При переході за посиланням відбувається завантаження із загальнодоступного файлового обміннику https://www.mediafire.com zip-архіву в середині якого знаходиться зразок шкідливого програмного забезпечення GuLoader - Paid Invoice.exe.
GuLoader - це невеликий VB5/6 завантажувач. Зазвичай він завантажує RAT/Stealers, такі як AgentTesla, Arkei/Vidar, Formbook, Netwire та Remcos, часто з Google Drive або інших хмарних сховищ. Основною його перевагою є наявність механізмів захисту shell коду від debug-аналізу, а також статичного і динамічного аналізу коду системами захисту.
Даний тип завантажувачів використовує складний метод ін’єкції, щоб ускладнити аналіз, а саме:
⦁ створює дочірню копію процесу із самого себе у призупиненому стані (після розшифрування shell коду);
⦁ завантажує образ системної бібліотеки (у даному випадку msvbvm60.dll) у пам'ять дочірнього процесу (imagebase 0x400000) для виділення пам’яті;
⦁ модифікує контекст призупиненого дочірнього процесу для перенаправлення виконання у введений код (thread injection) та передає йому керування.
Shell код здійснює завантаження із download1595.mediafire.com зашифрованого корисного навантаження, розшифровує його та виконує. Запущений зразок шкідливого програмного забезпечення має функціонал NetWire RAT, що виконує комунікацію з C&C сервером gaga1234.duckdns.org (duckdns.org безкоштовний сервіс Dynamic DNS), а також додає новий кореневий сертифікат, здатний збирати інформацію про користувача і систему, завантажувати виконувані файли або запускати існуючі, запускати дочірні процеси, управляти засобами вводу-виводу (клавіатура, миша).
Під час відпрацювання завантажене шкідливе програмне забезпечення (NetWire RAT) теж використовує техніку ін’єкції потоку дочірнього процесу для активації шкідливих функцій, а також закріплюється у системі через системний реєстр:
Рівень загрози: СЕРЕДНІЙ
Поштовий лист–> URL – > zip-архів > *.exe(GNULoader) –> *.exe –> #NetWire (RAT)
Механізм роботи:
Дерево процесів (загальне)
Індикатори кіберзагроз:
IP адреса з якої проводиться розсилання
159.253.37.203
Main objects
FileName Paid_Invoice.7z
MD5 8dd30af1ba2b5878203cea7561324501
SHA1 b82405944f2aae095ffca879dde159fa86d72fe3
SHA256 bd4f09cf7125f26e6cf0829125edce29afeac6f70f5ea4279cb6c181e6d0e996
FileName Paid_Invoice.exe
MD5 9d1de261318164ac3fcfd783685c708a
SHA1 951c258338434f768b792430bb8be20906b5b50c
SHA256 70d5db9782a13dca560affdb552d391dcb38357dc72ea316621329ab8a8b98b4
Created / Ddropped Files
C:\Users\user\AppData\Roaming\Install\Host.exe
MD5: 9D1DE261318164AC3FCFD783685C708A
SHA1: 951C258338434F768B792430BB8BE20906B5B50C
SHA-256: 70D5DB9782A13DCA560AFFDB552D391DCB38357DC72EA316621329AB8A8B98B4
Downloaded Files
hxxp://download1595.mediafire.com/hoo93kygciqg/ucug5a3x87vpd5k/gaga_OTXthSdcnx232.bin
MD5 68273f000cdb990e8293c02f5c2d5204
SHA1 ea2f4f76ef2b46a4a9cc9e854cd8c272a72a2908
SHA256 ccbc543c2d3884a8df152481a0633bfbddc17d64c0cb704b6816582320d04526
Contacted Domains
mediafire.com 104.16.202.237 104.16.203.237
download1595.mediafire.com 199.91.152.95
gaga1234.duckdns.org 185.140.53.226
Contacted URLs
url hxxp://www.mediafire.com/file/w709xht2cdrrr8z/Paid_Invoice.7z
url hxxp://www.mediafire.com/file/ucug5a3x87vpd5k/gaga_OTXthSdcnx232.bin/file
url hxxp://download1595.mediafire.com/hoo93kygciqg/ucug5a3x87vpd5k/gaga_OTXthSdcnx232.bin
Contacted IPs
104.16.202.237
199.91.152.95
104.16.203.237
185.140.53.226