Las industrias de comercio electrónico en Corea del Sur y EE. UU. se encuentran en el extremo receptor de una campaña de malware GuLoader en curso, según reveló la firma de ciberseguridad Trellix a fines del mes pasado.
La actividad de malspam se destaca por la transición de documentos de Microsoft Word con malware a archivos ejecutables NSIS para cargar el malware. Otros países objetivo como parte de la campaña incluyen Alemania, Arabia Saudita, Taiwán y Japón.
NSISabreviatura de Nullsoft Scriptable Install System, es un sistema de código abierto basado en secuencias de comandos que se utiliza para desarrollar instaladores para el sistema operativo Windows.
Si bien las cadenas de ataque en 2021 aprovecharon un archivo ZIP que contenía un documento de Word con macros para soltar un archivo ejecutable encargado de cargar GuLoader, la nueva ola de phishing emplea archivos NSIS incrustados en imágenes ZIP o ISO para activar la infección.
«Incrustar archivos ejecutables maliciosos en archivos e imágenes puede ayudar a los actores de amenazas a evadir la detección», investigador de Trellix, Nico Paulo Yturriaga. dicho.
En el transcurso de 2022, se dice que los scripts NSIS utilizados para entregar GuLoader han crecido en sofisticación, incorporando capas adicionales de ofuscación y cifrado para ocultar el código shell.
El desarrollo también es emblemático de un cambio más amplio dentro del panorama de amenazas, que ha sido testigo de picos en los métodos alternativos de distribución de malware en respuesta al bloqueo de macros en los archivos de Office descargados de Internet por parte de Microsoft.
«La migración del shellcode GuLoader a los archivos ejecutables NSIS es un ejemplo notable que muestra la creatividad y la persistencia de los actores de amenazas para evadir la detección, evitar el análisis de sandbox y obstruir la ingeniería inversa», señaló Yturriaga.