Ερευνητές ασφαλείας αποκάλυψαν τα πιο πρόσφατα κόλπα που χρησιμοποιούν οι hackers πίσω από το GuLoader malware για να καταστήσουν την ανάλυση πιο δύσκολη.
“Ενώ η βασική λειτουργικότητα του GuLoader δεν έχει αλλάξει δραστικά τα τελευταία χρόνια, αυτές οι συνεχείς ενημερώσεις στις τεχνικές obfuscation καθιστούν την ανάλυση του GuLoader μια χρονοβόρα και εντατική διαδικασία από άποψη πόρων“, δήλωσε ο ερευνητής της Elastic Security Labs, Daniel Stepanic.
Το GuLoader malware εντοπίστηκε για πρώτη φορά στα τέλη του 2019, και είναι ένα προηγμένο shellcode-based malware downloader, το οποίο χρησιμοποιείται για τη διανομή διάφορων κακόβουλων payloads, ενώ ενσωματώνει μια σειρά εξελιγμένων τεχνικών αντι-ανάλυσης για την αποφυγή παραδοσιακών λύσεων ασφαλείας.
Δείτε επίσης: Trickbot malware: Ρώσος developer ομολογεί την ενοχή του
Το GuLoader διανέμεται συνήθως μέσω καμπανιών phishing. Οι επιτιθέμενοι στέλνουν κακόβουλα μηνύματα στα θύματα και τα πείθουν να κατεβάσουν και να εγκαταστήσουν το κακόβουλο λογισμικό ανοίγοντας αρχεία ZIP ή συνδέσμους που περιέχουν ένα αρχείο Visual Basic Script (VBScript).
Η ισραηλινή εταιρεία κυβερνοασφάλειας Check Point αποκάλυψε πριν από λίγο καιρό ότι “το GuLoader malware πωλείται πλέον με νέο όνομα στην ίδια πλατφόρμα με το Remcos και προωθείται σιωπηρά ως crypter που κάνει το payload του μη ανιχνεύσιμο από τα antivirus“.
Μία από τις πρόσφατες αλλαγές στο κακόβουλο λογισμικό είναι η βελτίωση μιας τεχνικής αντι-ανάλυσης που αποκαλύφθηκε για πρώτη φορά από την CrowdStrike τον Δεκέμβριο του 2022. Αυτό βασίζεται στην ικανότητα Vectored Exception Handling (VEH) του malware.
Δείτε επίσης: Νέο proxy trojan malware στοχεύει χρήστες Mac
Ο μηχανισμός αυτός έχει αναφερθεί και από τις McAfee Labs και Check Point με την πρώτη να δηλώνει ότι “Το GuLoader χρησιμοποιεί το VEH κυρίως για να καλύψει το execution flow και να επιβραδύνει την ανάλυση“.
Η μέθοδος “συνίσταται στη διακοπή της κανονικής ροής εκτέλεσης κώδικα με τη σκόπιμη χρήση μεγάλου αριθμού exceptions και τον χειρισμό τους σε έναν vector exception handler που μεταφέρει τον έλεγχο σε ένα dynamically calculated address“, είχε πει η Check Point.
Οι εγκληματίες του κυβερνοχώρου δίνουν μεγάλη έμφαση στην αποφυγή του εντοπισμού και της ανάλυσης των malware τους. Ένα από τα κύρια οφέλη από τη χρήση τέτοιων τεχνικών είναι η αποφυγή εργαλείων που αναλύουν κακόβουλη δραστηριότητα. Αυτές οι τεχνικές μπορούν να ανακατέψουν τον κώδικα του malware ή να τον κρυπτογραφήσουν, καθιστώντας δυσκολότερο τον εντοπισμό. Αυτό επιτρέπει στους δημιουργούς του malware να συνεχίζουν να επιτίθενται σε συστήματα για καιρό.
Δείτε επίσης: FjordPhantom: Το Android malware χρησιμοποιεί εικονικοποίηση για να αποφύγει την ανίχνευση
Ένα άλλο όφελος είναι η δυσκολία στην ανάκτηση πληροφοριών από το malware. Οι αντι-αναλυτικές τεχνικές μπορούν να περιορίσουν την ικανότητα των ερευνητών να αναλύσουν τον κώδικα του malware και να αντλήσουν πληροφορίες σχετικά με τον τρόπο λειτουργίας του, τις πιθανές ευπάθειες ή τις πηγές των επιθέσεων. Αυτό καθιστά δυσκολότερη την αντιμετώπιση του malware και την ανάπτυξη αποτελεσματικών μεθόδων προστασίας από αυτό.
Τέλος, η χρήση τεχνικών κατά της ανάλυσης μπορεί να επιτρέψει στους δημιουργούς του malware να “παραμείνουν μπροστά” από τις ενέργειες των αρχών και των ερευνητών. Αυτές οι τεχνικές μπορούν να καθυστερήσουν την ανάλυση και την αντίδραση στο malware, επιτρέποντας στους δημιουργούς να επιτεθούν σε νέους στόχους και να προκαλέσουν περισσότερη ζημιά.
Πηγή: thehackernews.com
