Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

DISTRIBUCIÓN DEL CARGADOR GULOADER

13/10/2023

DISTRIBUCIÓN DEL CARGADOR GULOADER
Se identificó una nueva actividad del cargador GuLoader el cual está siendo distribuido mediante correos electrónicos que contienen archivos adjuntos disfrazados de facturas fiscales y hojas de ruta, estas hojas acompañan al contrato de transporte de mercancías que se realiza entre un expedidor y el transportista.

Descripción

GuLoader es un cargador malicioso utilizado para distribuir una variedad de códigos maliciosos, incluidos troyanos, ransomware y keyloggers. En este caso particular, GuLoader se ha identificado en archivos comprimidos RAR (Roshal Archive Compressed) adjuntos a correos electrónicos falsificados. Cuando un usuario ejecuta GuLoader, se inicia la descarga de códigos maliciosos, entre ellos RemcosRAT, AgentTesla y Vidar.

Los ciberdelincuentes utilizan GuLoader como una forma de evadir la detección de firmas por parte de productos de seguridad. Además, de realizar la descarga y ejecutar códigos maliciosos vendidos en el mercado cibernético, como los mencionados en el apartado anterior y otros como Formbook y Lokibot. Aunque GuLoader se compila en diferentes tipos de archivos (NSIS, .Net y VisualBasic) para evitar la detección estática, la naturaleza maliciosa del comportamiento se mantiene constante en todas las variantes.

Vector de infección

Los actores detrás de esta amenaza están utilizando técnicas de ingeniería social, enviando correos electrónicos que parecen contener documentos legítimos como facturas fiscales y hojas de ruta. Estos archivos adjuntos, en realidad, contienen el malware GuLoader en forma de archivos RAR. La apariencia legítima de los correos electrónicos puede engañar a los usuarios para que ejecuten el malware sin sospecharlo, una vez realizada la ejecución de esta amenaza se desencadena su carga útil generando la descarga de software malicioso adicional.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Proporcionar entrenamiento y capacitación regular sobre seguridad cibernética a todos los colaboradores para que puedan reconocer correos electrónicos de phishing y archivos adjuntos maliciosos.
  • Implementar soluciones de filtrado de correo electrónico y antispam para bloquear correos maliciosos antes de que lleguen a los buzones de los colaboradores.
  • Mantener todos los sistemas operativos, aplicaciones y programas actualizados con los últimos parches de seguridad para evitar vulnerabilidades conocidas que los atacantes puedan aprovechar.

Leer noticia: https://asec.ahnlab.com/ko/55865/