Исследователи Unit 42 смогли расшифровать код загрузчика GuLoader

Исследователи Unit 42 обнаружили новый вариант загрузчика GuLoader, который содержит полезную нагрузку шелл-кода, защищенную методами антианализа.

GuLoader (также известный как CloudEye) — это загрузчик вредоносных программ , впервые обнаруженный в декабре 2019 года.

Рассматриваемый образец Guloader использует обфускацию потока управления, чтобы скрыть свои функции и избежать обнаружения. Этот метод препятствует как статическому, так и динамическому анализу. Кроме того, Guloader использует инструкции ЦП, которые вызывают исключения, что приводит к запутыванию кода во время статического анализа.

В коде образца множество байтов 0xCC (или инструкций int3 ) «разбросаны» по всему образцу . За байтами 0xCC следуют ненужные инструкции. Эти добавленные байты нарушают процесс листинга дизассемблирования. Однако, аналитикам Unit 42 удалось расшифровать код, о чем они рассказали в своем отчете .

Байты 0xCC — это инструкции ЦП, вызывающие исключение «EXCEPTION_BREAKPOINT (0x80000003)», которое приостанавливает выполнение процесса.

Хакеры часто используют методы запутывания кода, чтобы увеличить время и ресурсы, необходимые аналитикам вредоносных программ для обработки кода. Отчет Unit 42 поможет сократить время для анализа образцов вредоносных программ из Guloader, а также других семейств, использующих аналогичные методы.

В апреле 2022 года киберпреступники доставляли загрузчик GuLoader с помощью электронных писем с предложением работы для банковских сотрудников в Африке.