Бесплатно Экспресс-аудит сайта:

08.02.2023

Загрузчик GuLoader стал главной опасностью для электронной коммерции в самых технологичных странах

Эксперты ИБ-компании Trellix заявили , что отрасли электронной коммерции в Южной Корее и США находятся под угрозой продолжающейся кампании вредоносного ПО GuLoader.

GuLoader (CloudEyE) – VBS-загрузчик (Visual Basic Script, VBS), который используется для распространения RAT-троянов, например, Remcos . Впервые он был обнаружен в 2019 году.

Хакеры перешли от заражённых документов Microsoft Word к исполняемым файлам NSIS для загрузки вредоносного ПО. Кампания нацелена не только на США и Южную Корею, но и на Германию, Саудовскую Аравию, Тайвань и Японию.

Файл NSIS (Nullsoft Scriptable Install System) представляет собой управляемый сценариями инструмент с открытым исходным кодом, используемый для разработки установщиков ОС Windows. Разработчик NSIS – компания Nullsoft, автор плеера Winamp.

Обнаруженная кампания использует NSIS-файлы, встроенные в ZIP- или ISO-образы, для активации заражения. Образы распространяются с помощью фишинговых электронных писем компаниям-жертвам. По словам исследователей из Trellix, внедрение вредоносных исполняемых файлов в архивы и образы позволяет злоумышленникам избежать обнаружения.

По словам экспертов, в течение 2022 года NSIS-сценарии, используемые для доставки GuLoader, усложнились, получив дополнительные уровни обфускации и шифрования для сокрытия шелл-кода.

Специалисты отметили, что миграция шелл-кода GuLoader в исполняемые файлы NSIS — яркий пример того, как киберпреступники проявляют изобретательность и настойчивость в уклонении от обнаружения, предотвращении анализа песочницы и воспрепятствовании реверс-инжинирингу.