E-Commerce-Branchen in Südkorea und den USA sind das Ziel einer laufenden GuLoader-Malware-Kampagne, wie das Cybersecurity-Unternehmen Trellix Ende letzten Monats bekannt gab.
Die Malspam-Aktivitäten zeichnen sich dadurch aus, dass sie von mit Malware verseuchten Microsoft Word-Dokumenten auf ausführbare NSIS-Dateien zum Laden der Malware umsteigen. Zu den weiteren Zielländern der Kampagne gehören Deutschland, Saudi-Arabien, Taiwan und Japan.
NSIS, kurz für Nullsoft Scriptable Install System, ist ein skriptgesteuertes Open-Source-Tool zur Entwicklung von Installationsprogrammen für das Windows-Betriebssystem.
Während die Angriffsketten im Jahr 2021 ein ZIP-Archiv nutzten, das ein mit einem Makro versehenes Word-Dokument enthielt, um eine ausführbare Datei abzulegen, die GuLoader laden sollte, verwendet die neue Phishing-Welle NSIS-Dateien, die in ZIP- oder ISO-Images eingebettet sind, um die Infektion zu aktivieren.
„Die Einbettung bösartiger ausführbarer Dateien in Archive und Bilder kann den Bedrohungsakteuren helfen, sich der Entdeckung zu entziehen“, so Trellix-Forscher Nico Paulo Yturriaga.
Im Laufe des Jahres 2022 sollen die NSIS-Skripte, die zur Verbreitung von GuLoader verwendet werden, immer ausgefeilter geworden sein und zusätzliche Verschleierungs- und Verschlüsselungsebenen eingebaut haben, um den Shellcode zu verbergen.
Die Entwicklung ist auch sinnbildlich für eine breitere Veränderung in der Bedrohungslandschaft, die als Reaktion auf Microsofts Blockierung von Makros in Office-Dateien, die aus dem Internet heruntergeladen werden, einen Anstieg alternativer Malware-Verbreitungsmethoden erlebt hat.
„Die Migration von GuLoader-Shellcode in ausführbare NSIS-Dateien ist ein bemerkenswertes Beispiel für die Kreativität und Hartnäckigkeit von Bedrohungsakteuren, die sich der Erkennung entziehen, Sandbox-Analysen verhindern und Reverse Engineering erschweren“, so Yturriaga.