صنایع تجارت الکترونیک در کره جنوبی و ایالات متحده شرکت امنیت سایبری Trellix در اواخر ماه گذشته اعلام کرد که در حال دریافت کمپین بدافزار GuLoader هستند.
فعالیت malspam برای انتقال از اسناد Microsoft Word حاوی بدافزار به فایلهای اجرایی NSIS برای بارگیری بدافزار قابل توجه است. کشورهای دیگری که به عنوان بخشی از این کمپین هدف قرار گرفته اند عبارتند از آلمان، عربستان سعودی، تایوان و ژاپن.
NSIS، مخفف Nullsoft Scriptable Install System، یک ابزار متن باز مبتنی بر اسکریپت است که برای توسعه نصب کننده برای سیستم عامل ویندوز استفاده می شود.
در حالی که زنجیرههای حمله در سال ۲۰۲۱ از یک آرشیو ZIP حاوی یک سند Word ماکرو برای رها کردن یک فایل اجرایی که وظیفه بارگذاری GuLoader را داشت، استفاده کردند، موج فیشینگ جدید از فایلهای NSIS تعبیهشده در تصاویر ZIP یا ISO برای فعال کردن عفونت استفاده میکند.
Nico Paulo Yturriaga، محقق Trellix، گفت: «جاسازی فایلهای اجرایی مخرب در آرشیوها و تصاویر میتواند به عوامل تهدید کمک کند تا از شناسایی فرار کنند.
گفته میشود در طول سال ۲۰۲۲، اسکریپتهای NSIS که برای ارائه GuLoader استفاده میشوند، پیچیدهتر شدهاند و در لایههای مبهم و رمزگذاری اضافی برای پنهان کردن کد پوسته قرار گرفتهاند.
این توسعه همچنین نمادی از تغییر گستردهتر در چشمانداز تهدید است، که شاهد جهشهایی در روشهای توزیع بدافزار جایگزین در پاسخ به مسدود کردن ماکروها در فایلهای Office دانلود شده از اینترنت توسط مایکروسافت بوده است.
Yturriaga خاطرنشان کرد: انتقال کد پوسته GuLoader به فایلهای اجرایی NSIS یک مثال قابل توجه برای نشان دادن خلاقیت و پایداری عوامل تهدید برای فرار از شناسایی، جلوگیری از تجزیه و تحلیل جعبههای ماسهبازی و جلوگیری از مهندسی معکوس است.
