Компания Elastic Security Labs раскрыла новые приемы вредоносного ПО GuLoader, которые усложняют анализ и обнаружение угрозы. Основная функциональность GuLoader, впервые обнаруженного в конце 2019 года, не претерпела значительных изменений за последние годы, однако постоянное обновление методов обфускации делает его анализ затратным по времени и ресурсам, пишет Securitylab.
GuLoader (CloudEyE) является продвинутым загрузчиком вредоносного кода на основе шелл-кода, распространяемым через фишинговые кампании. Он используется для доставки различных видов вредоносных программ, включая кражу информации, и включает в себя сложные техники антианализа для обхода традиционных решений безопасности.
Отмечается, что GuLoader теперь продается под новым именем на той же платформе, что и Remcos, и рекламируется как криптор, который делает его полезную нагрузку полностью невидимой для антивирусов.
Одно из последних изменений в GuLoader – улучшение техники антианализа, основанной на использовании Vectored Exception Handling (VEH). Метод состоит в нарушении нормального потока выполнения кода путем преднамеренной генерации большого количества исключений и их обработки в векторном обработчике исключений, который передает управление на динамически вычисляемый адрес.