Los rastreadores de amenazas han desvelado las recientes estratagemas adoptadas por una cepa de malware llamada GuLoader con el objetivo de dificultar el análisis.
Identificado por primera vez a finales de 2019, GuLoader (también conocido como CloudEyE) es un descargador de malware avanzado basado en shellcode que se emplea para distribuir una variedad de cargas útiles, como robadores de información, y que incorpora un conjunto de sofisticadas técnicas anti-análisis para evadir las soluciones de seguridad tradicionales.
Una serie constante de informes de código abierto sobre el malware en los últimos meses ha revelado que los actores de amenazas detrás de GuLoader han continuado mejorando su capacidad para eludir funciones de seguridad existentes o nuevas, junto con otras características implementadas.
GuLoader suele propagarse mediante campañas de phishing, en las que las víctimas son engañadas para descargar e instalar el malware a través de correos electrónicos que contienen archivos ZIP o enlaces que incluyen un archivo de Visual Basic Script (VBScript).
Uno de los cambios recientes en el malware es una mejora en una técnica anti-análisis revelada por CrowdStroke en diciembre de 2022 y que se centra en su capacidad de Manejo de Excepciones Vectorizadas (VEH).
Es relevante señalar que el mecanismo fue detallado anteriormente tanto por McAfee Labs como por Check Point en mayo de 2023, siendo que el primero afirmó que «GuLoader emplea VEH principalmente para ofuscar el flujo de ejecución y ralentizar el análisis».
GuLoader está lejos de ser la única familia de malware que recibe actualizaciones constantes. Otro ejemplo destacado es DarkGate, un troyano de acceso remoto (RAT) que permite a los atacantes comprometer completamente los sistemas de las víctimas.
Vendido como malware como servicio (MaaS) por un actor conocido como RastaFarEye en foros clandestinos por una tarifa mensual de $15,000, el malware utiliza correos electrónicos de phishing que contienen enlaces para distribuir el vector de infección inicial: un archivo VBScript o un instalador de software de Microsoft (MSI).
Trellix, que analizó la última versión de DarkGate (5.0.19), indicó que «introduce una nueva cadena de ejecución que utiliza la carga lateral de DLL y shellcodes y cargadores mejorados». Además, viene con una revisión completa de la función de robo de contraseñas de RDP.
Este desarrollo se produce en un momento en que troyanos de acceso remoto como Agent Tesla y AsyncRAT han sido observados propagándose mediante nuevas cadenas de infección basadas en correo electrónico que aprovechan la esteganografía y tipos de archivo poco comunes en un intento de eludir las medidas de detección de antivirus.
También sigue a un informe del equipo de inteligencia de amenazas HUMAN Satori sobre cómo una versión actualizada de un motor de obfuscación de malware llamado ScrubCrypt (también conocido como BatCloak) se utiliza para entregar el malware RedLine Stealer.