Detecção de GuLoader: Malware Alvo em Organizações Financeiras dos EUA via Emails de Phishing
Com a temporada de impostos em pleno andamento, agentes de ameaça estão de olho nas organizações financeiras. De acordo com os mais recentes relatórios de cibersegurança, empresas de contabilidade dos EUA e outras instituições financeiras têm sido alvo de uma série de campanhas adversárias espalhando o malware GuLoader desde março de 2022. Os agentes de ameaça espalham as amostras maliciosas do GuLoader ao alavancar um vetor de ataque de phishing e uma isca com tema de imposto.
Detectar Ataques do GuLoader
Aproveitando-se da temporada de impostos, os agentes de ameaça tentam contar com uma combinação de ataques sofisticados e engenharia social para atrair as vítimas e acessar dados financeiros valiosos. Para proteger ativos organizacionais críticos e identificar possíveis intrusões em tempo hábil, os profissionais de segurança necessitam de uma fonte confiável de conteúdo de detecção.
A Plataforma de Detecção como Código da SOC Prime oferece um lote de regras Sigma para detectar a última modificação do GuLoader, um downloader de malware desagradável que usa iscas fiscais para visar instituições financeiras nos EUA:
Esta regra, escrita por nosso atento desenvolvedor Threat Bounty Nattatorn Chuensangarun detecta atividades suspeitas do malware GuLoader ao modificar a chave de execução do registro por meio da execução de um comando PowerShell que recupera o valor da propriedade. A detecção é compatível com 20 soluções SIEM, EDR e XDR e está alinhada ao the framework MITRE ATT&CK® abordando a tática de Evasão de Defesa, com a Modificação de Registro (T1112) como a técnica correspondente.
A segunda regra Sigma, escrita por nosso prolífico desenvolvedor Threat Bounty Onur Atali, detecta comandos suspeitos usados pelo malware GuLoader para executar funcionalidades de malware. O algoritmo de detecção pode ser aplicado em 16 plataformas de análise de segurança líderes do setor e está mapeado para ATT&CK, abordando a tática de Execução junto com o Interpretador de Comando e Script (T1059) técnica.
Tanto profissionais de cibersegurança aspirantes quanto experientes são bem-vindos para se juntar ao programa Threat Bounty Program da SOC Prime para escrever e compartilhar conteúdo de detecção com colegas da indústria enquanto enriquecem a inteligência coletiva e monetizam suas contribuições de conteúdo.
Com a rápida evolução do malware GuLoader e suas técnicas aprimoradas de evasão de detecção, organizações progressistas estão se esforçando para aprimorar suas capacidades defensivas para identificar oportunamente a infecção. Clique no botão Explorar Detecções para acessar todo o conjunto de detecção para o malware GuLoader, junto com referências do MITRE ATT&CK, links CTI e mais metadados relevantes.
O malware loader GuLoader, também conhecido como CloudEyE, foi observado em recentes campanhas adversárias visando o setor financeiro dos EUA. Nesses ataques, os agentes de ameaça aplicam iscas de phishing com tema fiscal para espalhar as amostras de malware.
O GuLoader é considerado um dos loaders mais sofisticados, aproveitando um conjunto de técnicas de anti-análise e evasão de detecção. O loader também é capaz de entregar outras amostras maliciosas, como infostealers e RATs. Por exemplo, com um número crescente de ataques de phishing durante a pandemia de COVID-19, o GuLoader foi utilizado para implantar o Trojan FormBook nos sistemas comprometidos. A iteração mais recente do GuLoader aplica VBS e PowerShell ofuscados para soltar amostras adicionais de malware, como Remcos RAT. A injeção de código em um processo legítimo permite que os agentes de ameaça contornem ferramentas de antivírus e outras utilidades de proteção de segurança, representando um desafio para os defensores cibernéticos.
A investigação da Unidade de Resposta a Ameaças da eSentire esclarece algumas das campanhas em andamento do malware GuLoader que exploram o vetor de ataque de phishing. Os ataques primeiro observados no início da primavera de 2022 durante uma temporada de impostos aplicam um e-mail de phishing para acionar a cadeia de infecção. O e-mail malicioso contém um link de isca para o Adobe Acrobat, que permite que os usuários-alvo baixem um arquivo de arquivo protegido por senha. Este último vem com uma imagem de isca e um arquivo LNK disfarçado como um documento PDF, o que pode levar a implantar cargas adicionais nos sistemas comprometidos usando PowerShell.
Uma vez instalado, o GuLoader alcança persistência usando Chaves de Execução do Registro. O malware instalado com sucesso dá aos adversários o sinal verde para comprometer totalmente o sistema alvo e lançar mais campanhas de malware.
Devido ao aumento no volume de ataques de phishing, as organizações estão procurando maneiras de aumentar a conscientização sobre cibersegurança e garantir que os sistemas tenham software antivírus atualizado instalado, juntamente com outras ferramentas de proteção de segurança. Explore a extensa base de conhecimento da SOC Prime, pesquisável e atualizada em desempenho de sub-segundo para explorar toda a lista de regras Sigma para detecção de ataques de phishing, com todas as detecções automaticamente conversíveis para mais de 27 soluções SIEM, EDR e XDR e enriquecidas com contexto de ameaças cibernéticas acionável., to explore the entire list of Sigma rules for phishing attack detection, with all the detections automatically convertible to 27+ SIEM, EDR, and XDR solutions and enriched with actionable cyber threat context.
