08/02/23
Эксперты ИБ-компании Trellix заявили, что отрасли электронной коммерции в Южной Корее и США находятся под угрозой продолжающейся кампании вредоносного ПО GuLoader. Это передает Securitylab.
GuLoader (CloudEyE) – VBS-загрузчик (Visual Basic Script, VBS), который используется для распространения RAT-троянов, например, Remcos. Впервые он был обнаружен в 2019 году.
Хакеры перешли от заражённых документов Microsoft Word к исполняемым файлам NSIS для загрузки вредоносного ПО. Кампания нацелена не только на США и Южную Корею, но и на Германию, Саудовскую Аравию, Тайвань и Японию.
Файл NSIS (Nullsoft Scriptable Install System) представляет собой управляемый сценариями инструмент с открытым исходным кодом, используемый для разработки установщиков ОС Windows. Разработчик NSIS – компания Nullsoft, автор плеера Winamp.
Обнаруженная кампания использует NSIS-файлы, встроенные в ZIP- или ISO-образы, для активации заражения. Образы распространяются с помощью фишинговых электронных писем компаниям-жертвам. По словам исследователей из Trellix, внедрение вредоносных исполняемых файлов в архивы и образы позволяет злоумышленникам избежать обнаружения.
По словам экспертов, в течение 2022 года NSIS-сценарии, используемые для доставки GuLoader, усложнились, получив дополнительные уровни обфускации и шифрования для сокрытия шелл-кода.
Специалисты отметили, что миграция шелл-кода GuLoader в исполняемые файлы NSIS — яркий пример того, как киберпреступники проявляют изобретательность и настойчивость в уклонении от обнаружения, предотвращении анализа песочницы и воспрепятствовании реверс-инжинирингу.
