What is CloudEyE Malware?

CloudEyE, également connu sous le nom de GuLoader, est un logiciel malveillant téléchargeur qui s'introduit dans un système et télécharge ensuite des chevaux de Troie voleurs, des enregistreurs de frappe et des outils d'accès à distance (RAT). CloudEyE est écrit en Visual Basic et utilise principalement des serveurs légitimes tels que OneDrive ou Google Drive pour exécuter et livrer des charges utiles supplémentaires à l'appareil.

Demander une démo Sécurité des postes Guide de l'acheteur

Comment fonctionne le logiciel malveillant CloudEyE ?

CloudEyE est efficace principalement en raison de sa méthode d'infiltration. Cette forme de logiciel malveillant utilise le packer Nullsoft Scriptable Install System (NSIS), un packer open-source que les développeurs utilisent couramment pour créer des installateurs Windows. Le logiciel malveillant étant intégré au NSIS, il devient beaucoup plus difficile pour les logiciels antivirus d'analyser et de détecter CloudEyE avant qu'il ne s'infiltre dans un système.

CloudEyE compresse sa charge utile à l'aide de l'empaqueteur NSIS, puis crypte davantage son logiciel malveillant afin d'offrir une couche supplémentaire d'obscurcissement. Lorsque quelqu'un télécharge le fichier sur son ordinateur ou son appareil, GuLoader s'exécute, décryptant son logiciel malveillant, le décompactant et l'exécutant sur le système pour compromettre l'appareil.

Une fois installé sur un appareil, CloudEyE peut donner accès à un certain nombre de programmes supplémentaires qui compromettent davantage le système, comme le logiciel rançonneur qui prend votre appareil en otage ou un autre logiciel malveillant qui permet aux acteurs de la menace d'accéder directement à l'appareil.

Une autre raison pour laquelle CloudEyE est capable d'échapper à la détection est qu'il utilise trois méthodes pour rechercher les technologies de virtualisation et les bacs à sable :

  • Analyse des outils VM : Les outils VM aident les développeurs à créer des environnements sécurisés pour l'analyse des logiciels malveillants. Si CloudEyE recherche des outils VM et voit des traces de l'un de ces outils, comme VirtualBox, VMware ou Flare VM, il ne s'exécutera pas.
  • Analyse des bacs à sable : Les bacs à sable sont des environnements virtualisés que les experts en cybersécurité utilisent pour isoler les logiciels malveillants et les examiner. CloudEyE recherchera les bacs à sable et empêchera l'exécution s'il en détecte.
  • Recherche de débogueur : Enfin, CloudEyE recherche tous les débogueurs présents sur un système, tels que x64dbg, WinDbg et OllyDbg. Si un système de débogage est détecté, GuLoader ne s'exécutera pas.

Avec ces systèmes d'analyse en place, il est extrêmement difficile de détecter CloudEyE, ce qui rend presque impossible pour les chercheurs en cybersécurité d'identifier, d'isoler et d'étudier le logiciel malveillant afin d'élaborer des stratégies de défense efficaces.

Dommages potentiels causés

Lorsqu'une personne télécharge un fichier sur l'internet sans en avoir vérifié l'authenticité, elle risque de télécharger un logiciel malveillant tel que CloudEyE. Par exemple, ils peuvent télécharger ce qui semble être un fichier PDF normal à partir d'un courriel de phishing qu'ils reçoivent. En réalité, ce fichier peut être un faux qui contient en fait le logiciel malveillant CloudEyE.

Une fois qu'ils ont téléchargé GuLoader sur leur système, il peut provoquer les problèmes suivants :

  • Exfiltration de données : CloudEyE peut télécharger des voleurs qui enregistrent les données personnelles ou sensibles d'un appareil. Les pirates peuvent vendre ces données exfiltrées ou les utiliser pour accéder à d'autres appareils.
  • Création de points d'entrée : Le logiciel malveillant CloudEyE peut permettre aux pirates de créer d'autres points d'entrée dans votre système. Il peut ouvrir la porte à d'autres programmes et activités malveillants.
  • Perturbation : Bien que ce ne soit pas l'objectif premier de CloudEyE, les pirates pourraient également l'utiliser pour désactiver les systèmes d'exploitation, faire planter un appareil ou l'empêcher de fonctionner correctement. Cette forme d'attaque peut réduire l'efficacité de l'entreprise et frustrer les employés.
  • Vol de ressources : En l'absence d'outils efficaces de surveillance de la cybersécurité, les entreprises peuvent ne pas remarquer les IOC d'une attaque du logiciel malveillant CloudEyE. Cela peut signifier que les pirates ont un accès étendu à vos systèmes, qu'ils peuvent exploiter pour drainer vos ressources ou les utiliser à d'autres fins illicites.

CloudEyE étant difficile à détecter, il est très probable qu'un système qui ne surveille pas sa présence reste compromis pendant une longue période. Cela peut signifier que tous les effets mentionnés ci-dessus sont ressentis, et non un seul, avant qu'une équipe de cybersécurité ne corrige le problème.

4 bonnes pratiques pour atténuer le logiciel malveillant CloudEyE

Voici quelques bonnes pratiques qui peuvent vous aider à vous protéger contre le logiciel malveillant CloudEyE et les dommages qu'il peut causer :

#1. Identifier le chargeur VBScript

Le premier signe de la présence de CloudEyE dans un système est l'activation du chargeur VBScript, qui commence alors le processus de chargement d'une charge utile malveillante dans votre système. En identifiant le VBScript Loader et en l'arrêtant, vous pouvez empêcher GuLoader de s'exécuter sur votre système.

#2 : Utiliser des vérificateurs de compromission automatisés

L'une des mesures les plus importantes à prendre en cas de logiciel malveillant est de le détecter le plus tôt possible.

Une détection précoce donnera à votre équipe le temps nécessaire pour mettre en place une réponse efficace. En automatisant l'extraction de tout indicateur de compromission, vous serez en mesure d'identifier la présence de CloudEyE le plus rapidement possible.

#3 : Offrir une formation

Le moyen le plus simple d'empêcher le logiciel malveillant de pénétrer dans vos systèmes est de s'assurer que les employés ne téléchargent pas de fichiers malveillants. En expliquant comment inspecter les fichiers et en soulignant l'importance d'effectuer un balayage logiciel malveillant de tous les fichiers avant de les télécharger, vous contribuerez à réduire le nombre d'événements auxquels votre entreprise est confrontée.

#4 : Utiliser la Sécurité des postes

La Sécurité des postes ajoutera des couches de sécurité à votre système en examinant tous les fichiers avec lesquels votre entreprise entre en contact. En cas d'indices ou de traces de logiciels malveillants, les solutions de la Sécurité des postes bloqueront le téléchargement de ces fichiers et empêcheront leur infiltration.

Prévenir les logiciels malveillants avec Checkpoint

Le logiciel malveillant CloudEyE (GuLoader) est une menace sérieuse qui peut compromettre les systèmes informatiques et continuer à exister sur un appareil infecté. Sa capacité à télécharger d'autres logiciels malveillants sur un appareil compromis peut faire en sorte qu'une petite brèche se transforme en un problème de cybersécurité à l'échelle de l'entreprise.

Check Point Workspace Security est une solution de sécurité des postes à plusieurs niveaux qui peut identifier les fichiers malveillants tels que CloudEyE et les empêcher de pénétrer dans votre système.

En tant que solution dynamique, Check Point Endpoint Security peut automatiser la détection et la prévention des menaces dans votre environnement d'entreprise. Découvrez comment Check Point Endpoint Security peut assurer la sécurité de votre entreprise en réservant une démo gratuite.

Commencez

Pare-feu de nouvelle génération

Sécurité Zero Trust

Prévention avancée des menaces réseau

Rapport sur la cybersécurité 2024

Sujets connexes

Logiciels malveillants

Types de logiciels malveillants

Crypto logiciel malveillant

Mobile logiciel malveillant

LokiBot