Détection de GuLoader : un malware cible les organisations financières américaines via des e-mails de phishing

Avec la saison fiscale en pleine effervescence, les acteurs de menace portent leur attention sur les organisations financières. Selon les derniers rapports de cybersécurité, les cabinets comptables américains et d’autres institutions financières ont été victimes d’une série de campagnes d’adversaires répandant le malware GuLoader depuis mars 2022. Les acteurs de menace répandent les échantillons malveillants de GuLoader en utilisant un vecteur d’attaque de phishing et un appât sur le thème de l’impôt.

Détecter les attaques GuLoader

Profitant de la saison fiscale, les acteurs de menace tentent de s’appuyer sur une combinaison d’attaques sophistiquées et d’ingénierie sociale pour attirer les victimes et accéder à des données financières précieuses. Pour sécuriser les actifs critiques de l’organisation et identifier rapidement les intrusions possibles, les praticiens de la sécurité ont besoin d’une source fiable de contenu de détection. 

La plateforme Detection as Code de SOC Prime offre un ensemble de règles Sigma pour détecter la dernière modification de GuLoader, un téléchargement malveillant utilisant des appâts fiscaux pour cibler les institutions financières aux États-Unis :

Persistance possible de GuLoader en modifiant le registre pour récupérer la valeur de propriété (via registry_event)

Cette règle, écrite par notre développeur Threat Bounty avisé Nattatorn Chuensangarun détecte une activité suspecte du malware GuLoader en modifiant la clé de démarrage du registre en exécutant une commande PowerShell pour récupérer la valeur de propriété. La détection est compatible avec 20 solutions SIEM, EDR et XDR et est alignée avec the le cadre MITRE ATT&CK® abordant la tactique d’évasion en modifiant le registre (T1112) comme technique correspondante.

Exécution suspecte de malware GuLoader par détection de commandes associées ciblant le secteur financier (via ps_script)

La deuxième règle Sigma, écrite par notre prolifique développeur Threat Bounty Onur Atali, détecte les commandes suspectes utilisées par le malware GuLoader pour exécuter des fonctionnalités malveillantes. L’algorithme de détection peut être appliqué sur 16 plateformes d’analyse de sécurité de premier plan et est mappé à ATT&CK, abordant la tactique d’exécution avec l’interpréteur de commande et de script (T1059) comme technique. 

Les professionnels de la cybersécurité, qu’ils soient débutants ou expérimentés, sont invités à rejoindre le programme Threat Bounty de SOC Prime pour écrire et partager du contenu de détection avec leurs pairs de l’industrie tout en enrichissant l’intelligence collective et en monétisant leurs contributions de contenu. 

Avec l’évolution rapide du malware GuLoader et ses techniques améliorées d’évasion de la détection, les organisations progressistes s’efforcent d’affiner leurs capacités défensives pour identifier à temps l’infection. Cliquez sur le bouton Explorer les détections pour accéder à l’ensemble de la pile de détection pour le malware GuLoader, ainsi qu’aux références MITRE ATT&CK, aux liens CTI, et plus de métadonnées pertinentes. 

Explorer les détections

Le malware loader GuLoader, également connu sous le nom de CloudEyE, a été observé dans des campagnes d’adversaires récentes ciblant le secteur financier américain. Dans ces attaques, les acteurs de menace utilisent des appâts de phishing sur le thème fiscal pour propager les échantillons de malware.

GuLoader est considéré comme l’un des loaders les plus sophistiqués utilisant un ensemble de techniques d’anti-analyse et d’évasion de détection. Le loader est également capable de délivrer d’autres échantillons malveillants, comme des infostealers et des RATs. Par exemple, avec un nombre croissant d’attaques de phishing pendant la pandémie de COVID-10, GuLoader a été utilisé pour déployer le cheval de Troie FormBook sur les systèmes compromis. La version la plus récente de GuLoader applique VBS et PowerShell obscurcis pour déposer des échantillons de malware supplémentaires, comme Remcos RAT. L’injection de code dans un processus légitime permet aux acteurs de menace de contourner les outils antivirus et autres utilitaires de protection de sécurité, posant un défi aux défenseurs du cyberespace. 

L’enquête menée par l’unité de réponse aux menaces d’eSentire éclaire les campagnes de malware GuLoader en cours exploitant le vecteur d’attaque de phishing. Les attaques observées pour la première fois au début du printemps 2022 durant une saison fiscale utilisent un email de phishing pour déclencher la chaîne d’infection. L’email malveillant contient un lien appât vers Adobe Acrobat, permettant aux utilisateurs ciblés de télécharger une archive de fichier protégée par mot de passe. Cette dernière vient avec une image leurre et un fichier LNK se faisant passer pour un document PDF, ce qui peut conduire au déploiement de charges utiles supplémentaires sur les systèmes compromis en utilisant PowerShell. 

Une fois installé, GuLoader atteint la persistance en utilisant les clés de démarrage du registre. Le malware installé avec succès donne le feu vert aux adversaires pour compromettre entièrement le système ciblé et lancer d’autres campagnes de malware.

En raison de l’augmentation des volumes d’attaques de phishing, les organisations cherchent des moyens de sensibiliser à la cybersécurité et de s’assurer que les systèmes disposent d’un logiciel antivirus à jour installé, ainsi que d’autres outils de protection de sécurité. Explorez la vaste base de connaissances performante et mise à jour de SOC Prime, pour explorer toute la liste des règles Sigma pour la détection des attaques de phishing, avec toutes les détections automatiquement convertibles en plus de 27 solutions SIEM, EDR et XDR, et enrichies avec un contexte de menace cybernétique exploitable.