L’azienda di cybersicurezza Trellix ha rivelato alla fine del mese scorso che le industrie del commercio elettronico in Corea del Sud e negli Stati Uniti sono al centro di una campagna di malware GuLoader. L’attività di malspam si distingue per il passaggio da documenti Microsoft Word infarciti di malware a file eseguibili NSIS per il caricamento del malware. Altri Paesi presi di mira nell’ambito della campagna sono Germania, Arabia Saudita, Taiwan e Giappone.
NSIS, acronimo di Nullsoft Scriptable Install System, è uno strumento open source guidato da script utilizzato per sviluppare programmi di installazione per il sistema operativo Windows. Mentre le catene di attacco del 2021 sfruttavano un archivio ZIP contenente un documento Word con macro per rilasciare un file eseguibile incaricato di caricare GuLoader, la nuova ondata di phishing utilizza file NSIS incorporati in immagini ZIP o ISO per attivare l’infezione. “L’inserimento di file eseguibili dannosi in archivi e immagini può aiutare gli attori delle minacce a eludere il rilevamento”, ha dichiarato Nico Paulo Yturriaga, ricercatore di Trellix.
Il malware GuLoader
Nel corso del 2022, gli script NSIS utilizzati per distribuire GuLoader sono diventati sempre più sofisticati, aggiungendo ulteriori livelli di offuscamento e crittografia per nascondere lo shellcode. Lo sviluppo è anche emblematico di un cambiamento più ampio nel panorama delle minacce, che ha visto un aumento dei metodi alternativi di distribuzione del malware in risposta al blocco da parte di Microsoft delle macro nei file di Office scaricati da Internet. “La migrazione dello shellcode di GuLoader in file eseguibili NSIS è un esempio notevole che dimostra la creatività e la persistenza degli attori delle minacce per eludere il rilevamento, impedire l’analisi sandbox e ostacolare il reverse engineering”, ha osservato Yturriaga.
