Ngày 06 tháng 2 năm 2023Ravie LakshmananTấn công mạng / Bảo mật điểm cuối
Các ngành thương mại điện tử ở Hàn Quốc và Hoa Kỳ đang ở giai đoạn cuối của chiến dịch phần mềm độc hại GuLoader đang diễn ra, công ty an ninh mạng Trellix tiết lộ vào cuối tháng trước.
Hoạt động malspam đáng chú ý là chuyển từ các tài liệu Microsoft Word có chứa phần mềm độc hại sang các tệp thực thi NSIS để tải phần mềm độc hại. Các quốc gia khác được nhắm mục tiêu như một phần của chiến dịch bao gồm Đức, Ả Rập Saudi, Đài Loan và Nhật Bản.
NSIS, viết tắt của Nullsoft Scriptable Install System, là một hệ thống nguồn mở dựa trên tập lệnh được sử dụng để phát triển các trình cài đặt cho hệ điều hành Windows.
Trong khi các chuỗi tấn công vào năm 2021 tận dụng kho lưu trữ ZIP chứa tài liệu Word có macro để thả tệp thực thi được giao nhiệm vụ tải GuLoader, làn sóng lừa đảo mới sử dụng các tệp NSIS được nhúng trong ảnh ZIP hoặc ISO để kích hoạt quá trình lây nhiễm.
Nhà nghiên cứu Nico Paulo Yturriaga của Trellix cho biết: “Việc nhúng các tệp thực thi độc hại vào kho lưu trữ và hình ảnh có thể giúp các tác nhân đe dọa tránh bị phát hiện”.
Trong suốt năm 2022, các tập lệnh NSIS được sử dụng để phân phối GuLoader được cho là đã phát triển về mức độ tinh vi, đóng gói trong các lớp mã hóa và che giấu bổ sung để che giấu shellcode.
Sự phát triển này cũng là biểu tượng của sự thay đổi lớn hơn trong bối cảnh mối đe dọa, đã chứng kiến sự gia tăng đột biến trong các phương pháp phân phối phần mềm độc hại thay thế để đáp lại việc Microsoft chặn macro trong các tệp Office được tải xuống từ internet.
Yturriaga lưu ý: “Việc di chuyển shellcode GuLoader sang các tệp thực thi NSIS là một ví dụ đáng chú ý cho thấy sự sáng tạo và kiên trì của các tác nhân đe dọa để tránh bị phát hiện, ngăn chặn phân tích hộp cát và cản trở kỹ thuật đảo ngược”.
