Les chercheurs dévoilent des techniques d’anti-analyse contre le logiciel malveillant GuLoader

« Bien que la fonctionnalité de base de GuLoader n’ait pas changé radicalement au cours des dernières années, ces mises à jour constantes des techniques d’obscurcissement font de l’analyse de GuLoader un processus long et gourmand en ressources », a déclaré Daniel Stepanic, chercheur chez Elastic Security Labs, dans un rapport publié cette semaine.

Repéré pour la première fois fin 2019, GuLoader (alias CloudEyE) est un téléchargeur de logiciels malveillants avancé basé sur un shellcode qui est utilisé pour distribuer un large éventail de charges utiles, telles que des voleurs d’informations, tout en intégrant une foule de techniques anti-analyse sophistiquées pour esquiver les solutions de sécurité traditionnelles.

Au cours des derniers mois, un flux constant de rapports de sources ouvertes sur ce logiciel malveillant a révélé que les acteurs de la menace qui en sont à l’origine ont continué d’améliorer sa capacité à contourner les dispositifs de sécurité existants ou nouveaux, ainsi que d’autres dispositifs mis en œuvre.

GuLoader se propage généralement par le biais de campagnes d’hameçonnage, où les victimes sont incitées à télécharger et à installer le logiciel malveillant par des courriels contenant des archives ZIP ou des liens contenant un fichier Visual Basic Script (VBScript). Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez dans la psychologie des cyberattaquants lors de notre prochain webinaire.

En septembre 2023, la société israélienne de cybersécurité Check Point a révélé que « GuLoader est désormais vendu sous un nouveau nom sur la même plateforme que Remcos et est implicitement présenté comme un crypteur qui rend sa charge utile totalement indétectable par les antivirus ».
L’un des récents changements apportés au logiciel malveillant est une amélioration d’une technique anti-analyse divulguée pour la première fois par CrowdStroke en décembre 2022 et qui est centrée sur sa capacité Vectored Exception Handling (VEH). Il convient de souligner que le mécanisme a été précédemment détaillé par McAfee Labs et Check Point en mai 2023, le premier déclarant que « GuLoader emploie le VEH principalement pour obscurcir le flux d’exécution et pour ralentir l’analyse ». La méthode « consiste à interrompre le flux normal d’exécution du code en lançant délibérément un grand nombre d’exceptions et en les traitant dans un gestionnaire d’exception vectoriel qui transfère le contrôle à une adresse calculée dynamiquement », a déclaré Check Point.

GuLoader est loin d’être la seule famille de logiciels malveillants à avoir reçu des mises à jour constantes. Un autre exemple notable est celui de DarkGate, un cheval de Troie d’accès à distance (RAT) qui permet aux attaquants de compromettre totalement les systèmes des victimes. Vendu en tant que malware-as-a-service (MaaS) par un acteur connu sous le nom de RastaFarEye sur des forums clandestins pour un montant mensuel de 15 000 dollars, le malware utilise des courriels de phishing contenant des liens pour distribuer le vecteur d’infection initial : un fichier VBScript ou Microsoft Software Installer (MSI). Trellix a analysé la dernière version de DarkGate (5.0.19), indiquant qu’elle « introduit une nouvelle chaîne d’exécution utilisant le chargement latéral de DLL et des shellcodes et chargeurs améliorés ». En outre, elle est accompagnée d’une refonte complète de la fonction de vol de mot de passe RDP. « L’acteur de la menace a surveillé activement les rapports sur les menaces afin d’effectuer des changements rapides et d’échapper ainsi aux détections », ont déclaré les chercheurs en sécurité Ernesto Fernández Provecho, Pham Duy Phuc, Ciana Driscoll, et Vinoo Thomas. »Son adaptabilité, la vitesse à laquelle il se répète et la profondeur de ses méthodes d’évasion témoignent de la sophistication des menaces modernes de logiciels malveillants ». Ce développement intervient alors que des chevaux de Troie d’accès à distance tels que l’agent Tesla et AsyncRAT ont été observés en train de se propager à l’aide de nouvelles chaînes d’infection basées sur le courrier électronique qui exploitent la stéganographie et des types de fichiers inhabituels pour tenter de contourner les mesures de détection antivirale.Cela fait également suite à un rapport de l’équipe de renseignement sur les menaces de HUMAN Satori sur la façon dont une version mise à jour du moteur d’obscurcissement des logiciels malveillants appelé ScrubCrypt (alias BatCloak) est utilisée pour diffuser le logiciel malveillant de vol RedLine. Le nouveau bâtiment ScrubCrypt a été vendu à des acteurs de la menace sur une petite poignée de places de marché du dark web, y compris Nulled Forum, Cracked Forum et RaidForums, » ont déclaré les chercheurs.

« Nous sommes ravis de nous associer à CyberNews pour contribuer à la sécurité en ligne de ses utilisateurs. CyberNews s’est forgé une solide réputation en tant que source de référence pour les dernières nouvelles en matière de cybersécurité et les forums de piratage », a déclaré la société.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.