En el dinámico mundo de la ciberseguridad, los ataques maliciosos evolucionan constantemente, presentando nuevos retos para individuos y organizaciones. Recientemente, un informe arrojó luz sobre un sofisticado malware conocido como Guloader, que ha captado la atención de investigadores y expertos en seguridad informática.
¿Qué es Guloader?
Especialistas en seguridad informática han revelado recientemente las innovaciones implementadas por una variante de malware conocida como GuLoader. Estas mejoras tienen como objetivo complicar su análisis y detección.
El informe destaca que, aunque las funciones principales de GuLoader se han mantenido relativamente constantes a lo largo de los años, sus técnicas de ofuscación avanzadas requieren un análisis intensivo en tiempo y recursos. GuLoader, detectado por primera vez a finales de 2019, es un sofisticado descargador de malware basado en shellcode. Se utiliza para distribuir una variedad de cargas maliciosas, como herramientas para robar información, e incluye técnicas antianálisis complejas para evadir soluciones de seguridad convencionales.
Informes recientes indican que los actores de amenazas detrás de GuLoader han mejorado continuamente su capacidad para evadir medidas de seguridad nuevas y existentes. Este malware se propaga principalmente a través de campañas de phishing, engañando a las víctimas para que descarguen e instalen el malware mediante correos electrónicos con archivos ZIP adjuntos o enlaces que contienen un archivo Visual Basic Script (VBScript).
Te podrá interesar leer: Análisis de Malware con Wazuh
Una empresa de ciberseguridad israelí informó en septiembre de 2023 que "GuLoader ahora se ofrece bajo un nuevo nombre en la misma plataforma que Remcos y se promociona como un cifrador capaz de hacer que su carga útil sea completamente indetectable por los antivirus".
Un cambio reciente en el malware incluye la mejora de una técnica antianálisis, centrada en su manejo de excepciones vectoriales (VEH), una estrategia previamente detallada tanto por McAfee Labs como por la firma israelí en mayo de 2023. Esta técnica "implica interrumpir el flujo normal de ejecución de código al generar una gran cantidad de excepciones y manejarlas en un controlador de excepciones vectorial que redirige el control a una dirección calculada dinámicamente".
GuLoader no es el único malware que ha recibido actualizaciones constantes. DarkGate, un troyano de acceso remoto (RAT) que permite a los atacantes controlar completamente los sistemas de las víctimas, es otro ejemplo. Vendido como malware como servicio (MaaS) en foros clandestinos, utiliza correos electrónicos de phishing con enlaces para distribuir el vector de infección inicial, que puede ser un VBScript o un archivo de instalador de software de Microsoft (MSI).
Podrá interesarte: DarkGate: Malware se expande por Skype comprometido
Al analizar la última versión de DarkGate, se observó que "introduce una nueva cadena de ejecución que utiliza carga lateral de DLL y mejora los cargadores y códigos de shell". Además, incluye una revisión completa de la función de robo de contraseñas RDP. Los investigadores de seguridad destacaron la rápida adaptación y los métodos de evasión avanzados del malware, evidenciando la sofisticación de las amenazas actuales.
Este desarrollo coincide con la observación de que troyanos de acceso remoto como Agent Tesla y AsyncRAT se están propagando mediante cadenas de infección basadas en correo electrónico innovadoras, que utilizan esteganografía y tipos de archivos poco comunes para evitar la detección antivirus.
Además, un informe del HUMAN Satori Threat Intelligence Team reveló que se está utilizando una versión actualizada de un motor de ofuscación de malware, conocido como ScrubCrypt (o BatCloak), para distribuir el malware ladrón RedLine en ataques de apropiación y fraude de cuentas. "La nueva versión de ScrubCrypt se ha vendido a actores de amenazas en varios mercados de la web oscura", según la empresa.
¿Cómo protegerse de Guloader y otros malware?
Para evitar ser víctima de Guloader y otros malware, es importante seguir una serie de buenas prácticas de seguridad, como las siguientes:
- No abrir ni descargar archivos adjuntos de correos electrónicos sospechosos o no solicitados, especialmente si tienen extensiones como .exe, .scr, .bat o .vbs.
- Mantener actualizado el sistema operativo y los programas instalados, especialmente los antivirus y los cortafuegos.
- Realizar copias de seguridad periódicas de los archivos importantes y almacenarlas en un lugar seguro, como un disco duro externo o un servicio en la nube.
- No acceder a enlaces o sitios web desconocidos o no confiables, y verificar la autenticidad y el cifrado de los sitios web antes de introducir datos personales o financieros.
- Utilizar contraseñas seguras y únicas para cada cuenta, y activar la verificación en dos pasos siempre que sea posible.
- Desconfiar de las ofertas, las promociones, los sorteos o los mensajes que soliciten información personal o que pidan realizar algún pago urgente o inusual.
- Educar y concienciar a los usuarios sobre los riesgos y las amenazas de la ciberdelincuencia, y fomentar una cultura de seguridad.
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
Siguiendo estos consejos, se puede reducir el riesgo de ser infectado por Guloader y otros malware, y proteger la privacidad y la seguridad de los datos y los dispositivos. Sin embargo, hay que tener en cuenta que ningún sistema es infalible, y que los ciberdelincuentes siempre están buscando nuevas formas de engañar y atacar a los usuarios. Por eso, es importante estar alerta y actuar con precaución y sentido común ante cualquier situación sospechosa o anormal.