Lāazienda di cybersicurezza Trellix ha rivelato alla fine del mese scorso che le industrie del commercio elettronico in Corea del Sud e negli Stati Uniti sono al centro di una campagna di malware GuLoader. LāattivitĆ di malspam si distingue per il passaggio da documenti Microsoft Word infarciti di malware a file eseguibili NSIS per il caricamento del malware. Altri Paesi presi di mira nellāambito della campagna sono Germania, Arabia Saudita, Taiwan e Giappone.
NSIS, acronimo di Nullsoft Scriptable Install System, ĆØ uno strumento open source guidato da script utilizzato per sviluppare programmi di installazione per il sistema operativo Windows. Mentre le catene di attacco del 2021 sfruttavano un archivio ZIP contenente un documento Word con macro per rilasciare un file eseguibile incaricato di caricare GuLoader, la nuova ondata di phishing utilizza file NSIS incorporati in immagini ZIP o ISO per attivare lāinfezione. āLāinserimento di file eseguibili dannosi in archivi e immagini puĆ² aiutare gli attori delle minacce a eludere il rilevamentoā, ha dichiarato Nico Paulo Yturriaga, ricercatore di Trellix.
Il malware GuLoader
Nel corso del 2022, gli script NSIS utilizzati per distribuire GuLoader sono diventati sempre piĆ¹ sofisticati, aggiungendo ulteriori livelli di offuscamento e crittografia per nascondere lo shellcode. Lo sviluppo ĆØ anche emblematico di un cambiamento piĆ¹ ampio nel panorama delle minacce, che ha visto un aumento dei metodi alternativi di distribuzione del malware in risposta al blocco da parte di Microsoft delle macro nei file di Office scaricati da Internet. āLa migrazione dello shellcode di GuLoader in file eseguibili NSIS ĆØ un esempio notevole che dimostra la creativitĆ e la persistenza degli attori delle minacce per eludere il rilevamento, impedire lāanalisi sandbox e ostacolare il reverse engineeringā, ha osservato Yturriaga.