作者:威胁情报团队
译者:知道创宇404实验室翻译组
原文链接:https://asec.ahnlab.com/en/40283/

ASEC分析团队发现,GuLoader恶意软件正在分发给韩国企业用户。GuLoader是一款下载器,自过去以来一直稳定分发,下载各种恶意软件。分发的网络钓鱼邮件如下所示,并附加了一个 HTML 文件。

网络钓鱼邮件

当用户打开附加的 HTML 文件时,将从下面的 URL 下载压缩文件。

  • 下载网址
    hxxp://45.137.117[.]184/Files_For_Potosinos/Doc_Scan.zip

HTML代码

压缩文件包含一个 IMG 文件,GuLoader恶意软件在此 IMG 文件中。

压缩文件内部

GuLoader伪装成Word图标,并在文件末尾添加一个大小约为600MB的Null值。

实际大小(左)、分布式文件大小(右)

它与七月份在 ASEC 博客中推出的 GuLoader 采用相同的 NSIS 格式,但目前正在分发的 GuLoader 中 NSIS 脚本的功能已进行了更改。以前的 NSIS 脚本包含它调用的 DLL 和 API 名称的字符串,而新的 NSIS 脚本删除了所有相关字符串以绕过检测。

以前的NSIS脚本

删除的字符串在特定文件中编码。在执行 NSIS 文件时生成的文件中,“Udmeldt.Ext”文件是稍后要加载的shell代码,而“Modig.Sta0”文件用要调用的 DLL 和 API 的名称进行编码。以下 NSIS 脚本显示了字符串解码的过程。

修改的NSIS脚本(1)

首先,要调用 API,利用12278(0x2FF6)中的 Modig.Sta0 文件执行XOR。

修改的NSIS脚本(2)

解码后的数据如下所示,并按顺序调用 API。

修改的NSIS脚本(3)

当按顺序调用 API 时,“Udmeldt.Ext”文件在 21200(0x52D0) 中的数据将加载到分配的内存中,然后再执行。此时加载的数据执行实际的恶意行为。

要加载的shell代码

加载的shell代码

加载的GuLoader在注入恶意数据之前,在“C:\program files\internet explorer\ieinstal.exe”路径中执行正常进程。注入的正常进程连接到下面的URL并尝试下载其他恶意软件。下载目前不可用,但它可以下载信息窃取者和RAT类型的恶意软件,包括Formbook、RedLine和AgentTesla。

  • 下载网址
    hxxp:// 45.137.117[.]184/riBOkPd173.mix

下载恶意软件GuLoader正在不断修改和分发,以绕过检测。建议谨慎,因为它针对的是韩国用户,用户不应打开来自未知来源的电子邮件中的附件。AhnLab的反恶意软件产品V3使用以下别名检测并阻止恶意软件。

[文件检测]
Downloader/HTML.Generic.SC183804 (2022.10.11.03)
Trojan/Win.Agent.C5275941 (2022.10.11.03)

[IOC]
9227aca78ee90c18f87597516a28b091
f3abed0008eef87e2fb082d16e5df4d1
hxxp://45.137.117[.]184/Files_For_Potosinos/Doc_Scan.zip
hxxp:// 45.137.117[.]184/riBOkPd173.mix


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1990/