Зловмисне програмне забезпечення #GuLoader

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять у тілі листа стилізоване під ярлик документу pdf зображення з активним посиланням на завантаження архіву із шкідливим програмним забезпеченням.

Зразок електронного повідомлення:

Детальний опис:

При переході за посиланням відбувається завантаження із загальнодоступного файлового обміннику https://www.mediafire.com zip-архіву в середині якого знаходиться зразок шкідливого програмного забезпечення GuLoader - Paid Invoice.exe.

GuLoader - це невеликий VB5/6 завантажувач. Зазвичай він завантажує RAT/Stealers, такі як AgentTesla, Arkei/Vidar, Formbook, Netwire та Remcos, часто з Google Drive або інших хмарних сховищ. Основною його перевагою є наявність механізмів захисту shell коду від debug-аналізу, а також статичного і динамічного аналізу коду системами захисту.

Даний тип завантажувачів використовує складний метод ін’єкції, щоб ускладнити аналіз, а саме:
⦁ створює дочірню копію процесу із самого себе у призупиненому стані (після розшифрування shell коду);
⦁ завантажує образ системної бібліотеки (у даному випадку msvbvm60.dll) у пам'ять дочірнього процесу (imagebase 0x400000) для виділення пам’яті;
⦁ модифікує контекст призупиненого дочірнього процесу для перенаправлення виконання у введений код (thread injection) та передає йому керування.

Shell код здійснює завантаження із download1595.mediafire.com зашифрованого корисного навантаження, розшифровує його та виконує. Запущений зразок шкідливого програмного забезпечення має функціонал NetWire RAT, що виконує комунікацію з C&C сервером gaga1234.duckdns.org (duckdns.org безкоштовний сервіс Dynamic DNS), а також додає новий кореневий сертифікат, здатний збирати інформацію про користувача і систему, завантажувати виконувані файли або запускати існуючі, запускати дочірні процеси, управляти засобами вводу-виводу (клавіатура, миша).

Під час відпрацювання завантажене шкідливе програмне забезпечення (NetWire RAT) теж використовує техніку ін’єкції потоку дочірнього процесу для активації шкідливих функцій, а також закріплюється у системі через системний реєстр:

Рівень загрози: СЕРЕДНІЙ

Поштовий лист–> URL – > zip-архів > *.exe(GNULoader) –>  *.exe  –> #NetWire (RAT)

Механізм роботи:

Дерево процесів (загальне)

 

Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання

     159.253.37.203

Main objects

FileName     Paid_Invoice.7z

     MD5           8dd30af1ba2b5878203cea7561324501
     SHA1          b82405944f2aae095ffca879dde159fa86d72fe3
     SHA256     bd4f09cf7125f26e6cf0829125edce29afeac6f70f5ea4279cb6c181e6d0e996

FileName      Paid_Invoice.exe

     MD5           9d1de261318164ac3fcfd783685c708a
     SHA1          951c258338434f768b792430bb8be20906b5b50c
     SHA256     70d5db9782a13dca560affdb552d391dcb38357dc72ea316621329ab8a8b98b4

Created / Ddropped Files

     C:\Users\user\AppData\Roaming\Install\Host.exe

     MD5:             9D1DE261318164AC3FCFD783685C708A
     SHA1:            951C258338434F768B792430BB8BE20906B5B50C
     SHA-256:      70D5DB9782A13DCA560AFFDB552D391DCB38357DC72EA316621329AB8A8B98B4

Downloaded Files

     hxxp://download1595.mediafire.com/hoo93kygciqg/ucug5a3x87vpd5k/gaga_OTXthSdcnx232.bin

     MD5            68273f000cdb990e8293c02f5c2d5204
     SHA1           ea2f4f76ef2b46a4a9cc9e854cd8c272a72a2908
     SHA256      ccbc543c2d3884a8df152481a0633bfbddc17d64c0cb704b6816582320d04526

Contacted Domains

     mediafire.com                              104.16.202.237    104.16.203.237
     download1595.mediafire.com     199.91.152.95
     gaga1234.duckdns.org                185.140.53.226

Contacted URLs

     url  hxxp://www.mediafire.com/file/w709xht2cdrrr8z/Paid_Invoice.7z
     url  hxxp://www.mediafire.com/file/ucug5a3x87vpd5k/gaga_OTXthSdcnx232.bin/file
     url  hxxp://download1595.mediafire.com/hoo93kygciqg/ucug5a3x87vpd5k/gaga_OTXthSdcnx232.bin

Contacted IPs

     104.16.202.237
     199.91.152.95
     104.16.203.237
     185.140.53.226