최근, 분석 방해 기술이 추가된 "GuLoader" 악성코드의 변종이 발견됐다.
보안 업체 Crowdstrike에 따르면, 해당 악성코드는 쉘코드 형태의 다운로더로 최신 버전에서는 VBS 파일 실행을 통해 유포되는 것으로 알려졌다. 이 파일을 실행하면 악성 쉘코드를 드롭한 뒤 정상 프로세스에 주입해 실행하고 "Remcos" 악성코드를 다운로드한다.
발견된 변종은 프로세스 메모리 전체에서 가상머신 관련 문자열 검사를 수행하며, 가상 환경이 탐지될 경우 쉘코드 실행을 중단하는 것으로 밝혀졌다.
사진출처 : Crowdstrike
출처
[1] Crowdstrike (2022.12.19) - Malware Analysis: GuLoader Dissection Reveals New Anti-Analysis Techniques and Code Injection Redundancy
'최신 보안 동향' 카테고리의 다른 글
| PrivateLoader를 통해 유포되는 RisePro 악성코드 (0) | 2022.12.30 |
|---|---|
| Clop 랜섬웨어를 유포하는 TrueBot 악성코드 (0) | 2022.12.30 |
| Windows 10 설치 프로그램으로 위장해 유포되는 악성코드 (0) | 2022.12.30 |
| 인도 철도 공사 IRCTC를 사칭한 피싱 공격 (0) | 2022.12.29 |
| 음악 다운로드 앱으로 위장한 GodFather 안드로이드 악성코드 (0) | 2022.12.29 |