BezpečnosťSpravodajstvo

Malvér GULoader zneužívajú hackeri na Slovensku najviac. Ako funguje a čo dokáže?!

GULoader je softvér, ktorý sa vo veľkom používa pri veľkých hackerských kampaniach.

Hackeri vo svojich najnovších kampaniach používajú trójske kone GULoader, ktoré po infikovaní zariadenia doňho nainštaluje ďalší škodlivý softvér. GULoadery hackeri využívajú na distribuovanie malwaru vo veľkom merítku. Čerešničkou na torte je, že tento škodlivý softvér je v našom regióne najrozšírenejší, čo odhalil nedávny výskum analytikov z Check Point Software Technologies.

Portál McAfee si v poslednej dobe všimol nárast v GULoaderoch, ktoré sú založené na NSIS a šíria sa prostredníctvom spamových mailov. NSIS znamená Nullsoft Scriptable Instaler a ide o samostatné archívy, ktoré umožňujú hackerom ukryť škodlivý kód do zbytočných dát. Tieto dáta umožňujú malwaru dostať sa nepozorovane cez antivírové softvéry.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Správanie inštalátora GULoader závisí na NSIS skripte a hackeri dokážu predĺžiť jeho životnosť pridaním vlastných knižníc, ktoré sú známe ako NSIS pluginy. Už od samotného vzniku tejto metódy sa stala obľúbenou u hackerov, ktorí prostredníctvom nej infikujú zariadenia svojich obetí.

Po úspešnom útoku sa súbor so zakódovaným GULoaderom dostáva na disk infikovaného zariadenia spolu s ostatnými dátami. Zbytočné súbory sa nachádzajú na začiatku zakódovaného súboru. Kódovanie sa môže líšiť z prípadu na prípad, no vo väčšine prípadov ide o jednoduché XOR šifrovanie.

Počas inštalácie sa do zariadenia dostávajú dva .dll súbory, pričom jeden z nich má zakaždým meno system. Tento súbor slúži na priradenie pamäti shellcode programu.

V druhej fáze útoku sa škodlivý softvér uistí, že nebeží v takzvanom sandboxe, teda izolovanom zariadení, kde nemôže napáchať žiadne škody. Ak zistí, že sa v takomto prostredí nenachádza, potom prejde na poslednú fázu útoku, ktorou je sťahovanie samotného malwaru alebo iného softvéru, ktorý chce hacker dostať do vášho zariadenia. Zároveň do vášho zariadenia vkladá škodlivý kód.

Sťahovanie škodlivého softvéru

V poslednej fáze GULoader opäť zisťuje, či nie je monitorovaný iným programom. Ak zistí že má voľnú cestu, pokračuje vo svojich škodlivých aktivitách. Samotný malware, ktorý GULoader do počítača stiahne sa nachádza na sieti CDN. Zaujímavosťou je, že GULoader ignoruje prvých 40 bajtov škodlivého softvéru. Samotný CDN server je dobre chránený a dostane sa naň len zariadenie, ktoré má správne hlavičky a súbory cookies. Ak nemá, potom sa na daný server nedostane. Po stiahnutí malwaru GULoader vygeneruje takzvaný kvázikľúč, ktorý sa použije na dekódovanie skutočného kľúča. Následne použije skutočný kľúč na dekódovanie stiahnutého súboru.

GULoader je len jedným zo súborov, ktoré do zariadenia obete inštalujú ďalší malware a v kybersvete sa podobný softvér označuje ako crypter. Hackeri pomocou týchto nástrojov inštalujú do zariadení svojich obetí buď softvér na vzdialený prístup alebo malware, ktorý kradne dáta obetí. Následne tieto dáta môže hacker predať cez rôzne čierne dátové trhy.

Ohrozené sú napríklad aj spoločnosti, pretože hacker môže predať prístupové údaje k sieti napadnutých firiem. GULoader je softvér, ktorý sa vo veľkom používa pri rôznych hackerských kampaniach. Útočníci vo väčšine prípadov inštalujú do zariadení populárne malwary ako napríklad Raccoon, Vidar alebo Redline. Popri týchto škodlivých softvéroch inštalujú do zariadení aj trójske kone, ktoré im dajú vzdialený prístup k zariadeniu.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close