Detección de GuLoader: Malware apunta a organizaciones financieras de EE.UU. a través de correos electrónicos de phishing

Con la temporada de impuestos en pleno apogeo, los actores de amenazas están poniendo sus ojos en las organizaciones financieras. Según los últimos informes de ciberseguridad, empresas de contabilidad estadounidenses y otras instituciones financieras han sido víctimas de una serie de campañas de adversarios que difunden el malware GuLoader desde marzo de 2022. Los actores de amenazas esparcen las muestras maliciosas de GuLoader aprovechando un vector de ataque de phishing y un señuelo temático de impuestos.

Detectar Ataques de GuLoader

Aprovechando la temporada de impuestos, los actores de amenazas intentan recurrir a una combinación de ataques sofisticados e ingeniería social para atraer a las víctimas y acceder a datos financieros valiosos. Para asegurar los activos críticos de la organización e identificar oportunamente posibles intrusiones, los profesionales de seguridad necesitan una fuente confiable de contenido de detección.

La plataforma Detection as Code de SOC Prime ofrece un lote de reglas Sigma para detectar la última modificación de GuLoader, un descargador de malware desagradable que usa cebos de impuestos para apuntar a instituciones financieras en EE.UU.:

Posible Persistencia de GuLoader Mediante la Modificación del Registro para Recuperar el Valor de Propiedad (a través de registry_event)

Esta regla, escrita por nuestro perspicaz desarrollador de Threat Bounty Nattatorn Chuensangarun detecta actividad sospechosa del malware GuLoader al modificar la clave de ejecución del registro mediante la ejecución de un comando PowerShell que recupera el valor de la propiedad. La detección es compatible con 20 soluciones SIEM, EDR y XDR y está alineada con the el marco MITRE ATT&CK® abordando la táctica de Evasión de Defensa, con Modificar Registro (T1112) como la técnica correspondiente.

Ejecución de Malware GuLoader Sospechoso al Detectar Comandos Asociados Dirigidos al Sector Financiero (a través de ps_script)

La segunda regla Sigma, escrita por nuestro prolífico desarrollador de Threat Bounty Onur Atali, detecta comandos sospechosos utilizados por el malware GuLoader para ejecutar la funcionalidad del malware. El algoritmo de detección se puede aplicar en 16 plataformas de análisis de seguridad líderes en la industria y está mapeado a ATT&CK, abordando la táctica de Ejecución junto con el Intérprete de Comandos y Secuencias de Comandos (T1059) técnica.

Tanto aspirantes como profesionales de ciberseguridad experimentados son bienvenidos en SOC Prime Programa de Recompensas de Amenazas para escribir y compartir contenido de detección con colegas de la industria mientras enriquecen la inteligencia colectiva y monetizan sus contribuciones de contenido.

Con la rápida evolución del malware GuLoader y sus técnicas mejoradas de evasión de detección, las organizaciones progresivas están esforzándose por afinar sus capacidades defensivas para identificar oportunamente la infección. Haz clic en el botón Explorar Detecciones para acceder a todo el conjunto de detección para el malware GuLoader, junto con referencias MITRE ATT&CK, enlaces CTI y más metadatos relevantes.

Explorar Detecciones

El malware GuLoader, también conocido como CloudEyE, ha sido observado en campañas recientes de adversarios dirigidas al sector financiero de EE.UU. En estos ataques, los actores de amenazas aplican señuelos de phishing con temas de impuestos para difundir las muestras de malware.

GuLoader se considera uno de los cargadores más sofisticados, aprovechando un conjunto de técnicas de anti-análisis y evasión de detección. El cargador también es capaz de entregar otras muestras maliciosas, como ladrones de información y RATs. Por ejemplo, con el creciente número de ataques de phishing durante la pandemia del COVID-19, GuLoader se usó para desplegar el Troyano FormBook en los sistemas comprometidos. La iteración más reciente de GuLoader aplica VBS y PowerShell ofuscados para descargar muestras de malware adicionales, como Remcos RAT. La inyección de código en un proceso legítimo permite a los actores de amenazas eludir las herramientas antivirus y otras utilidades de protección de seguridad, planteando un desafío a los defensores cibernéticos.

La investigación de la Unidad de Respuesta a Amenazas de eSentire arroja algo de luz sobre las campañas en curso del malware GuLoader que explotan el vector de ataque de phishing. Los ataques observados por primera vez a principios de la primavera de 2022 durante la temporada de impuestos aplican un correo electrónico de phishing para desencadenar la cadena de infección. El correo electrónico malicioso contiene un enlace señuelo a Adobe Acrobat, que permite a los usuarios objetivo descargar un archivo de archivo protegido por contraseña. Este último viene con una imagen señuelo y un archivo LNK que se hace pasar por un documento PDF, que puede llevar al despliegue de cargas útiles adicionales en los sistemas comprometidos usando PowerShell.

Una vez instalado, GuLoader logra persistencia utilizando Claves de Ejecución de Registro. El malware instalado con éxito da a los adversarios luz verde para comprometer completamente el sistema objetivo y lanzar más campañas de malware adicionales.

Debido al creciente volumen de ataques de phishing, las organizaciones buscan formas de aumentar la conciencia de ciberseguridad y asegurar que los sistemas tengan instalado software antivirus actualizado junto con otras herramientas de protección de seguridad. Explora la extensa base de conocimiento de SOC Prime, consultable y actualizada con un rendimiento de sub-segundo, para explorar la lista completa de reglas Sigma para la detección de ataques de phishing, con todas las detecciones automáticamente convertibles a más de 27 soluciones SIEM, EDR y XDR y enriquecidas con contexto de amenazas cibernéticas accionables.