他们说任何宣传都是好的宣传。但这对CloudEye来说可能并不正确,这家意大利公司声称提供“下一代Windows可执行文件的保护”。

2020年3月,Proofpoint安全研究人员首次描述了GuLoader,它是一种被威胁行动者用来大规模分发恶意软件的下载程序。6月,CheckPoint揭露了CloudEye是GuLoader背后的实体。

在几家安全公司和新闻媒体的关注下,GuLoader的活动在6月底有所下降。但在7月的第二周左右,我们又开始看到恶意垃圾邮件的下载者。

保护和逃避吸引犯罪分子

虽然下载者的概念并不新鲜,GuLoader它的起源是dark keye Protector,一个大约在2011年在各种论坛上出售的密码器后来发展成为CloudEye

CloudEye是一个Visual Basic 6下载器,它利用云服务来存储和检索软件的最终部分(以严重混淆shellcode),客户希望安装。

GuLoader/CloudEye已经被证明在绕过沙箱和安全产品(包括基于网络的检测)方面非常有效。

图1:在沙箱中执行GuLoader并检测它

这正是犯罪分子想要传播恶意软件的特性。不出所料,这就是发生的事情,GuLoader一度成为我们垃圾邮件蜜罐中最流行的恶意附件。

图2:Malwarebytes电子邮件遥测中最流行的标签附件必威平台APP

在业务

7月11日,CloudEye宣布恢复业务月的中断在此期间,销售停止,恶意行为者使用的账户也被禁止。

图3:CloudEye网站宣布恢复服务

促使我们访问该公司网站并看到这一公告的原因是GuLoader再次回归。我们注意到恶意垃圾邮件活动使用经典的DHL投递诱饵再次推动GuLoader:

图4:Malspam使用DHL主题推送GuLoader

GuLoader小偷

附件是一种ISO文件类型,Windows 10可以通过挂载它作为驱动器来打开。在内部,它包含了用Visual Basic编写的GuLoader可执行文件。使用一个反编译器,你可以揭示它的一种形式,这是GuLoader非常典型的:

图5:显示VB表单的GuLoader的反编译视图

当您执行它时,它将尝试连接到远程服务器以下载它的有效负载。当我们检查这个样本时,那个网站已经没有回应了。但是,PCAP文件是上可用VirusTotal并允许我们“欺骗”恶意软件,让它继续正常加载。

图6:将shellcode从内存转储到磁盘

我们使用PE-Sieve将加密的有效负载重建为一个独立的PE文件。这允许我们将shellcode从内存中转储到磁盘上的文件中。

图7:比较shellcode和磁盘上的文件

结果证明它是FormBook窃取者,这与我们看到的与GuLoader相关的有效负载类型一致。

流行工具已经破解?

我们认为有一个特殊的威胁组织参与了恶意垃圾邮件活动不管有没有GuLoader,但是使用RAR附件传播其他的小偷。

一旦一个工具被证明对犯罪目的是流行和有效的(无论它是出于合法的原因),它将继续助长恶意软件活动。

很有可能的是,在市面上流通的许多GuLoader的构建器中,有些已经被破解,现在正被威胁行为者自行使用。

我们跟踪GuLoader的恶意垃圾邮件活动,并继续保护我们的客户免受这种威胁。

图8:Malware必威平台APPbytes Nebula对GuLoader的检测

多亏了年代!国际扶轮关于GuLoader回来的消息。

妥协的指标

GuLoader

DHL_AWB_INV_9882900_99862788_998.exe
8 a13de21c0cb1d10e4ee93394794e0714f4a58994be543ac94592b6f8abc53dc

由GuLoader加载Shellcode

fbdoskitryupanel.webredirect org/uploud/5bab0b1d864615bab0b1d864b3/bin_koLHz220.bin。
167年45.76.45(。)

将shellcode解码成二进制

7 b4d3b6eb50a072d36f6233aeb56352735c59dd54ba54d6e6fbca6b23a1739d5