What is CloudEyE Malware?

CloudEyE, noto anche come GuLoader, è un malware scaricabile che entra in un sistema e poi scarica trojan ladro, keylogger e strumenti di accesso remoto (RAT). CloudEyE è scritto in Visual Basic e utilizza principalmente server legittimi come OneDrive o Google Drive per eseguire e consegnare payload aggiuntivi a Dispositivi.

Richiedi una Demo Endpoint Security Guida all'acquisto

Come funziona CloudEyE Malware ?

CloudEyE è efficace principalmente grazie al suo metodo di infiltrazione. Questa forma di malware utilizza il Nullsoft Scriptable Install System (NSIS) packer, un packer open-source che gli sviluppatori usano comunemente per creare installatori Windows. Poiché il malware è confezionato con NSIS, diventa molto più difficile per il software antivirus scansionare e rilevare CloudEyE prima che penetri in un sistema.

CloudEyE comprime il suo payload usando il packer NSIS, poi crittografa ulteriormente il malware per offrire un ulteriore livello di offuscazione. Quando qualcuno scarica il file sul proprio computer o su Dispositivi, GuLoader si avvia, decripta il suo malware, lo smonta e poi lo esegue sul sistema per compromettere il Dispositivi.

Una volta su un Dispositivi, CloudEyE può fornire accesso a numerosi programmi aggiuntivi che compromettono ulteriormente un sistema, come ransomware che tiene in ostaggio i tuoi dispositivi o altri malware che forniscono accesso diretto agli attori minacciosi al Dispositivi.

Un altro motivo per cui CloudEyE riesce a eludere il rilevamento è che utilizza tre metodi per scansionare la ricerca di tecnologie di virtualizzazione e sandbox:

  • Scansione degli strumenti VM: Gli strumenti VM aiutano gli sviluppatori a creare ambienti sicuri per l'analisi del malware. Se CloudEyE scansiona strumenti VM e vede tracce di uno di questi strumenti, come VirtualBox, VMware o Flare VM, non verrà eseguito.
  • Scansione sandbox: I sandbox sono ambienti virtualizzati che gli esperti di cybersecurity utilizzano per isolare il malware e poi esaminarlo. CloudEyE scansiona la ricerca di sandbox e impedisce l'esecuzione se ne rileva.
  • Scansione del debugger: Infine, CloudEyE scansionerà eventuali debugger su un sistema, come x64dbg, WinDbg e OllyDbg. Se viene rilevato un sistema di debugger, GuLoader non verrà eseguito.

Con questi sistemi di scansione in atto, è estremamente difficile rilevare CloudEyE, rendendo quasi impossibile per i ricercatori di cybersecurity identificare, isolare e studiare il malware per sviluppare strategie difensive efficaci.

Potenziali danni causati

Quando una persona scarica un file da internet senza prima verificarne l'autenticità, può scaricare malware come CloudEyE. Ad esempio, potrebbero scaricare quello che sembra un normale file PDF da un'email di phishing che ricevono. In realtà, questo file potrebbe essere un falso che include in realtà il malware CloudEyE.

Una volta scaricato GuLoader sul proprio sistema, può causare i seguenti problemi:

  • Esfiltrazione dei dati: CloudEyE può scaricare ladri che registreranno dati personali o sensibili da un Dispositivi. Gli hacker possono vendere questi dati esfiltrati o usarli per accedere ad altri Dispositivi.
  • Creare punti di ingresso: Il malware CloudEyE può creare opportunità per gli hacker di accedere ulteriormente al tuo sistema. Può aprire la porta ad altri programmi e attività dannose.
  • Interruzione: Sebbene non sia lo scopo principale di CloudEyE, gli hacker potrebbero anche usarlo per disabilitare sistemi operativi, far crashare Dispositivi o impedire il corretto funzionamento di un Dispositivo. Questa forma di attacco può ridurre l'efficienza aziendale e frustrare i dipendenti.
  • Furto di risorse: Senza strumenti efficaci di monitoraggio della cybersecurity, le aziende potrebbero non notare gli IOC di un attacco CloudEyE Malware. Questo potrebbe significare che gli hacker hanno accesso esteso ai tuoi sistemi, che possono sfruttare per prosciugare le tue risorse o usarle per altri scopi illeciti.

A causa della difficoltà da rilevare CloudEyE, è molto probabile che un sistema che non monitora la sua presenza possa rimanere compromesso per un periodo prolungato. Questo potrebbe significare che tutti gli impatti sopra sopra vengono sperimentati, e non solo uno, prima che un team di cybersecurity risolva il problema.

4 migliori pratiche per mitigare il Malwaredi CloudEyE

Ecco alcune best practice che possono aiutare a proteggere contro il malware CloudEyE e i danni che può causare:

#1. Identifica il caricatore VBScript

Il primo segno che CloudEyE è presente in un sistema è l'attivazione del VBScript Loader, che poi avvia il processo di caricamento di un payload dannoso nel tuo sistema. Identificando il VBScript Loader e fermandolo sul nascere, puoi impedire che GuLoader venga eseguito sul tuo sistema.

#2: Usa controlli di compromesso automatici

Uno dei passaggi più importanti quando si affronta il malware è assicurarsi di rilevarlo il prima possibile.

La diagnosi precoce darà al tuo team il tempo necessario per organizzare una risposta efficace. Automatizzando l'estrazione di qualsiasi indicatore di compromissione, sarai in grado di identificare la presenza di CloudEyE il più rapidamente possibile.

#3: Offrire istruzione

Il modo più semplice per impedire che il malware entri nei tuoi sistemi è assicurarsi che i dipendenti non scarichino file dannosi fin dall'inizio. Offrire educazione su come ispezionare i file e sull'importanza di eseguire la scansione del malware su tutti i file prima del download aiuterà a ridurre il numero di eventi che la tua azienda sperimenta.

#4: Utilizzare la Sicurezza degli Endpoint

La sicurezza degli Endpoint aggiungerà livelli di sicurezza al tuo sistema esaminando qualsiasi file con cui la tua azienda entri in contatto. Quando ci sono indizi o tracce di software malevolo, le soluzioni Sicurezza degli Endpoint bloccheranno il download di questi file e ne impediranno la loro infiltrazione.

Prevenire Malware con il Checkpoint

Il malware CloudEyE (GuLoader) è una minaccia seria che può compromettere i sistemi informatici e continuare a esistere su un Dispositivi contaminato. La sua capacità di scaricare altri malware su dispositivi compromessi può far sì che una piccola violazione si trasformi in un problema di cybersecurity a livello aziendale.

Check Point Workspace Security è una soluzione multilivello Sicurezza degli Endpoint che può identificare file dannosi come CloudEyE e impedirne l'ingresso nel sistema.

Come soluzione dinamica, Check Point Endpoint Security può automatizzare il rilevamento e la prevenzione delle minacce nell'ambiente aziendale. Scopri di più su come Check Point Endpoint Security puoi mantenere la tua attività al sicuro prenotando una Demo gratuita.

Per iniziare

Firewall di Nuova Generazione

Zero Trust Security

Prevenzione Avanzata dalle Minacce di Rete

Sicurezza informatica Rapporto 2024

Argomenti correlati

Malware

Tipi di malware

Crittografia malware

Malware mobile

LokiBot