As indústrias de comércio electrónico na Coreia do Sul e nos EUA estão no final de uma campanha malware GuLoader em curso, a empresa de segurança cibernética Trellix revelou no final do mês passado.
A actividade de malspam é notável para a transição de documentos do Microsoft Word com ligações masculinas para ficheiros executáveis NSIS para carregar o malware. Outros países visados como parte da campanha incluem a Alemanha, Arábia Saudita, Taiwan e Japão.
NSIS, abreviatura para Nullsoft Scriptable Install System, é uma ferramenta de código aberto guiada por script utilizada para desenvolver instaladores para o sistema operativo Windows.
Enquanto as cadeias de ataque em 2021 aproveitavam um arquivo ZIP contendo um documento Word com macro-laced para largar um ficheiro executável encarregado de carregar GuLoader, a nova onda de phishing emprega ficheiros NSIS incorporados dentro de imagens ZIP ou ISO para activar a infecção.
“Incorporar ficheiros executáveis maliciosos em arquivos e imagens pode ajudar os actores da ameaça a escapar à detecção”, Nico Paulo Yturriaga, investigador da Trellix disse.
Ao longo de 2022, os guiões NSIS utilizados para entregar GuLoader terão crescido em sofisticação, embalados em camadas adicionais de obscurecimento e encriptação para ocultar o código de shell.
O desenvolvimento é também emblemático de uma mudança mais ampla dentro do cenário de ameaça, que testemunhou picos nos métodos alternativos de distribuição de malware em resposta ao bloqueio pela Microsoft de macros em ficheiros Office descarregados a partir da Internet.
“A migração de GuLoader shellcode para ficheiros executáveis NSIS é um exemplo notável para mostrar a criatividade e persistência dos actores da ameaça para fugir à detecção, impedir a análise da caixa de areia, e obstruir a engenharia inversa”, observou Yturriaga.