GuLoader utilizza eseguibili NSIS dannosi per colpire il settore ECommerce

da Livio Varriale
0 commenti 1 minuti leggi

Lā€™azienda di cybersicurezza Trellix ha rivelato alla fine del mese scorso che le industrie del commercio elettronico in Corea del Sud e negli Stati Uniti sono al centro di una campagna di malware GuLoader. Lā€™attivitĆ  di malspam si distingue per il passaggio da documenti Microsoft Word infarciti di malware a file eseguibili NSIS per il caricamento del malware. Altri Paesi presi di mira nellā€™ambito della campagna sono Germania, Arabia Saudita, Taiwan e Giappone.

Annunci

NSIS, acronimo di Nullsoft Scriptable Install System, ĆØ uno strumento open source guidato da script utilizzato per sviluppare programmi di installazione per il sistema operativo Windows. Mentre le catene di attacco del 2021 sfruttavano un archivio ZIP contenente un documento Word con macro per rilasciare un file eseguibile incaricato di caricare GuLoader, la nuova ondata di phishing utilizza file NSIS incorporati in immagini ZIP o ISO per attivare lā€™infezione. ā€œLā€™inserimento di file eseguibili dannosi in archivi e immagini puĆ² aiutare gli attori delle minacce a eludere il rilevamentoā€, ha dichiarato Nico Paulo Yturriaga, ricercatore di Trellix.

Il malware GuLoader

Nel corso del 2022, gli script NSIS utilizzati per distribuire GuLoader sono diventati sempre piĆ¹ sofisticati, aggiungendo ulteriori livelli di offuscamento e crittografia per nascondere lo shellcode. Lo sviluppo ĆØ anche emblematico di un cambiamento piĆ¹ ampio nel panorama delle minacce, che ha visto un aumento dei metodi alternativi di distribuzione del malware in risposta al blocco da parte di Microsoft delle macro nei file di Office scaricati da Internet. ā€œLa migrazione dello shellcode di GuLoader in file eseguibili NSIS ĆØ un esempio notevole che dimostra la creativitĆ  e la persistenza degli attori delle minacce per eludere il rilevamento, impedire lā€™analisi sandbox e ostacolare il reverse engineeringā€, ha osservato Yturriaga.

Si puĆ² anche come

MatriceDigitale.it – Copyright Ā© 2024, Livio Varriale – Registrazione Tribunale di Napoli nĀ° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byĀ Giuseppe Ferrara