GuLoader

A ameaça GuLoader é uma mistura interessante de um carregador, que pode injetar várias ameaças no host comprometido e o download de um Trojan comum. Essa ferramenta sofisticada parece ser utilizada por vários cibercriminosos e grupos de hackers. Segundo relatos, a ameaça GuLoader foi usada para plantar mineradoras de criptomoedas, RATs (Trojans de Acesso Remoto), Trojans de backdoor e outros malwares ameaçadores. Nas campanhas mais recentes, o malware GuLoader foi usado para injetar o Parallax RAT e o Remcos RAT nos hosts comprometidos.

O vetor de infecção mais comumente usado para a disseminação do malware GuLoader são os emails de phishing. Geralmente, o usuário visado recebe um email que parece originar-se de uma fonte legítima. Esses e-mails falsos geralmente contêm um arquivo anexado projetado para parecer importante - CV, fatura, documentos etc. Criminosos cibernéticos altamente qualificados usam métodos mais sofisticados de ofuscação em comparação com seus colegas menos experientes:

Os criminosos cibernéticos com muita experiência no campo usam um documento com macro-atados projetado para explorar vulnerabilidades no Microsoft Office. Ao abrir o documento corrompido, os usuários serão solicitados a 'Habilitar Edição' - se o fizerem, permitirão que o malware do GuLoader comprometa os seus computadores.

Os cibercriminosos que não são tão avançados provavelmente usarão o método de dupla extensão. O Windows oculta as extensões de arquivo por padrão, para que os invasores possam nomear o arquivo corrompido como 'CV.pdf.exe', mas o usuário verá apenas 'CV.pdf' e poderá acabar abrindo o anexo fraudulento.

O malware do GuLoader é capaz de detectar se está sendo executado em um ambiente sandbox ou em um computador comum. Caso a ameaça detecte qualquer software de depuração de malware presente no sistema comprometido, interromperá todas as atividades.

Para evitar a detecção, a ameaça GuLoader usa uma técnica conhecida como 'processo oco'. Isso significa que o malware do GuLoader se mascararia como um processo legítimo, e as ferramentas de segurança podem não conseguir identificar a sua atividade prejudicial. Em seguida, a ameaça GuLoader se conectará ao servidor de C&C (Comando e Controle) dos invasores e fará o download da carga útil ameaçadora que ele pretende apresentar ao host infectado.