Malware GuLoader que usa ejecutables NSIS maliciosos para atacar

Iniciado por Dragora, Febrero 07, 2023, 06:41:49 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Las industrias de comercio electrónico en Corea del Sur y EE. UU. se encuentran en el extremo receptor de una campaña de malware GuLoader en curso , según reveló la firma de ciberseguridad Trellix a fines del mes pasado.

La actividad de malspam se destaca por la transición de documentos de Microsoft Word con malware a archivos ejecutables NSIS para cargar el malware. Otros países objetivo como parte de la campaña incluyen Alemania, Arabia Saudita, Taiwán y Japón.

NSIS , abreviatura de Nullsoft Scriptable Install System, es una herramienta de código abierto basada en secuencias de comandos que se utiliza para desarrollar instaladores para el sistema operativo Windows.

Si bien las cadenas de ataque en 2021 aprovecharon un archivo ZIP que contenía un documento de Word con macros para soltar un archivo ejecutable encargado de cargar GuLoader, la nueva ola de phishing emplea archivos NSIS incrustados en imágenes ZIP o ISO para activar la infección.

"Incrustar archivos ejecutables maliciosos en archivos e imágenes puede ayudar a los actores de amenazas a evadir la detección", dijo el investigador de Trellix, Nico Paulo Yturriaga .


En el transcurso de 2022, se dice que los scripts NSIS utilizados para entregar GuLoader han crecido en sofisticación, incorporando capas adicionales de ofuscación y cifrado para ocultar el código shell.

El desarrollo también es emblemático de un cambio más amplio dentro del panorama de amenazas, que ha sido testigo de picos en los métodos alternativos de distribución de malware en respuesta al bloqueo de macros de Microsoft en los archivos de Office descargados de Internet.

"La migración del shellcode GuLoader a archivos ejecutables NSIS es un ejemplo notable que muestra la creatividad y la persistencia de los actores de amenazas para evadir la detección, evitar el análisis de sandbox y obstruir la ingeniería inversa", señaló Yturriaga.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta