I trojan ad accesso remoto, noti più comunemente come RAT, sono una delle minacce più diffuse online.
Tra di essi, uno degli agenti malevoli più elusivi è, senza ombra di dubbio, il temuto GuLoader. Stiamo parlando di un malware scoperto nel dicembre 2019, spesso utilizzato come primo stadio nel contesto di infezioni più strutturate.
Il virus trojan horse in questione, infatti, una volta installato, in origine tendeva a scaricare Parallax RAT. Ad oggi, però, i cybercriminali hanno ampliato il raggio d’azione di GuLoader rendendolo molto più duttile. Lo stesso, infatti distribuisce un’ampia gamma di agenti malevoli, da ransomware ad altri trojan bancari (come Netwire, FormBook e altri).
Cosa rende GuLoader così elusivo? In realtà il malware adotta diverse tattiche per rendersi poco visibile. Si parla di crittografia, di packing e dell’utilizzo di siti apparentemente legittimi come infrastruttura di comando e controllo. Lato diffusione, le campagne di phishing sono al momento il vettore preferito dai criminali informatici.
GuLoader, le tre fasi di infezione e i metodi per evitarlo
Il malware di cui stiamo parlando agisce in tre distinte fasi.
Durante la prima, raggiunge le chiavi di registro modificandole e assicurando la sua presenza sul dispositivo infettato. Nella seconda invece, GuLoader ispeziona il contesto in cui si trova, cercando eventuali antivirus e simili per poi iniettare shellcode nella memoria. Quest’ultimo, avvia la fase finale dell’infezione, con l’avvio dell’eseguibile dannoso vero e proprio.
Per evitare questo malware è necessario seguire alcune procedure standard lato sicurezza.
Tenere sotto controllo la casella di posta elettronica, evitando con accuratezza le e-mail phishing significa a priori ridurre drasticamente le potenziali infezioni. In seconda battuta, evitare siti Web sospetti e, tanto più, file scaricabili presenti sugli stessi, permette di rendere i dispositivi ancora meno a rischio.
Infine, un ottimo antivirus e strumenti simili, possono offrire un ulteriore livello di sicurezza, non solo con GuLoader ma anche rispetto alla maggior parte di malware in circolazione.