As indústrias de comércio eletrônico na Coréia do Sul e nos EUA estão recebendo uma campanha contínua de malware GuLoader , divulgou a empresa de segurança cibernética Trellix no final do mês passado.
A atividade malspam é notável por fazer a transição de documentos do Microsoft Word com malware para arquivos executáveis NSIS para carregar o malware. Outros países visados como parte da campanha incluem Alemanha, Arábia Saudita, Taiwan e Japão.
NSIS , abreviação de Nullsoft Scriptable Install System, é um sistema de código aberto baseado em script usado para desenvolver instaladores para o sistema operacional Windows.
Enquanto as cadeias de ataque em 2021 aproveitaram um arquivo ZIP contendo um documento do Word com macros para soltar um arquivo executável encarregado de carregar o GuLoader, a nova onda de phishing emprega arquivos NSIS incorporados em imagens ZIP ou ISO para ativar a infecção.
“A incorporação de arquivos executáveis maliciosos em arquivos e imagens pode ajudar os agentes de ameaças a evitar a detecção”, disse Nico Paulo Yturriaga, pesquisador da Trellix .
Ao longo de 2022, diz-se que os scripts NSIS usados para entregar o GuLoader cresceram em sofisticação, incluindo camadas adicionais de ofuscação e criptografia para ocultar o shellcode.
O desenvolvimento também é emblemático de uma mudança mais ampla no cenário de ameaças, que testemunhou picos em métodos alternativos de distribuição de malware em resposta ao bloqueio de macros pela Microsoft em arquivos do Office baixados da Internet.
“A migração do shellcode GuLoader para arquivos executáveis NSIS é um exemplo notável para mostrar a criatividade e persistência dos agentes de ameaças para evitar a detecção, impedir a análise de sandbox e obstruir a engenharia reversa”, observou Yturriaga.