Rilevamento GuLoader: Malware Prende di Mira le Organizzazioni Finanziarie degli Stati Uniti tramite Email di Phishing

Con la stagione fiscale in pieno svolgimento, i cyber-criminali puntano gli occhi sulle organizzazioni finanziarie. Secondo i più recenti rapporti di cybersecurity, le società contabili statunitensi e altre istituzioni finanziarie sono cadute vittime di una serie di campagne ostili che diffondono il malware GuLoader da marzo 2022. Gli attori della minaccia diffondono i campioni malevoli di GuLoader sfruttando un vettore di attacco di phishing e un’esca a tema fiscale.

Rilevare gli Attacchi GuLoader

Approfittando della stagione fiscale, i cyber-criminali tentano di fare affidamento su una combinazione di attacchi sofisticati e ingegneria sociale per attirare le vittime e accedere a dati finanziari di valore. Per proteggere le risorse critiche dell’organizzazione e identificare tempestivamente possibili intrusioni, i professionisti della sicurezza necessitano di una fonte affidabile di contenuti di rilevazione.

La piattaforma Detection as Code di SOC Prime offre un lotto di regole Sigma per rilevare l’ultima modifica di GuLoader, un downloader di malware insidioso che sfrutta esche fiscali per prendere di mira le istituzioni finanziarie negli Stati Uniti:

Possibile Persistenza GuLoader Modificando il Registro per Recuperare il Valore di Proprietà (via registry_event)

Questa regola, scritta dal nostro esperto sviluppatore Threat Bounty Nattatorn Chuensangarun rileva attività sospette di malware GuLoader modificando la chiave di esecuzione del registro tramite l’esecuzione di un comando PowerShell che recupera il valore delle proprietà. Il rilevamento è compatibile con 20 soluzioni SIEM, EDR e XDR ed è allineato con the il framework MITRE ATT&CK® indirizzando la tattica evasione di difesa, con Modifica Registro (T1112) come tecnica corrispondente.

Esecuzione Sospetta di Malware GuLoader Rilevando Comandi Associati che Prevedono il Settore Finanziario (via ps_script)

La seconda regola Sigma, scritta dal nostro prolifico sviluppatore Threat Bounty Onur Atali, rileva comandi sospetti utilizzati dal malware GuLoader per eseguire funzionalità malevole. L’algoritmo di rilevamento può essere applicato su 16 piattaforme leader di analisi della sicurezza ed è mappato su ATT&CK, indirizzando la tattica di Esecuzione insieme alla tecnica Command and Scripting Interpreter (T1059).

Sia i professionisti della cybersecurity in erba che quelli esperti sono invitati a unirsi al SOC Prime Programma Threat Bounty per scrivere e condividere contenuti di rilevazione con i colleghi del settore arricchendo l’intelligenza collettiva e monetizzando i loro contributi di contenuto.

Con la rapida evoluzione del malware GuLoader e le sue tecniche avanzate di evasione delle rilevazioni, le organizzazioni progredite stanno cercando di affinare le loro capacità difensive per identificare tempestivamente l’infezione. Fai clic sul pulsante Esplora Rilevamenti per accedere all’intero stack di rilevamento per il malware GuLoader, insieme a riferimenti MITRE ATT&CK, link CTI, e ulteriori metadati rilevanti.

Esplora Rilevamenti

Il malware loader GuLoader, noto anche come CloudEyE, è stato osservato in recenti campagne ostili che prendono di mira il settore finanziario statunitense. In questi attacchi, i cyber-criminali applicano esche di phishing a tema fiscale per diffondere i campioni di malware.

GuLoader è considerato uno dei loader più sofisticati che sfrutta un insieme di tecniche di anti-analisi e di evasione delle rilevazioni. Il loader è anche in grado di consegnare altri campioni malevoli, come infostealer e RAT. Ad esempio, con un numero crescente di attacchi di phishing durante la pandemia di COVID-19, GuLoader è stato utilizzato per distribuire il trojan FormBook sui sistemi compromessi. L’iterazione più recente di GuLoader applica VBS e PowerShell offuscati per distribuire ulteriori campioni di malware, come Remcos RAT. L’iniezione di codice in un processo legittimo consente ai cyber-criminali di bypassare gli strumenti antivirus e altri strumenti di protezione della sicurezza, rappresentando una sfida per i difensori informatici.

L’indagine condotta da eSentire’s Threat Response Unit fa luce sulle campagne in corso di malware GuLoader che sfruttano il vettore di attacco di phishing. Gli attacchi osservati per la prima volta nella primavera del 2022 durante una stagione fiscale applicano un’email di phishing per avviare la catena d’infezione. L’email malevola contiene un link esca a Adobe Acrobat, che consente agli utenti target di scaricare un archivio di file protetto da password. Quest’ultimo viene fornito con un’immagine esca e un file LNK che si maschera da documento PDF, che può portare a distribuire payload aggiuntivi sui sistemi compromessi utilizzando PowerShell.

Una volta installato, GuLoader raggiunge la persistenza usando chiavi Run del Registro. Il malware installato con successo dà il via libera agli avversari per compromettere completamente il sistema target e lanciare ulteriori campagne di malware.

A causa del crescente volume di attacchi di phishing, le organizzazioni stanno cercando modi per aumentare la consapevolezza della cybersecurity e garantire che i sistemi abbiano un software antivirus aggiornato installato insieme ad altri strumenti di protezione della sicurezza. Esplora l’ampia base di conoscenza di SOC Prime, ricercabile e aggiornata con prestazioni al millisecondo, per esplorare l’intera lista di regole Sigma per il rilevamento degli attacchi di phishing, con tutti i rilevamenti convertibili automaticamente in oltre 27 soluzioni SIEM, EDR e XDR ed arricchiti con contesti di minacce informatiche attuabili.