- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
GuLoader (CloudEyE) – VBS-загрузчик (Visual Basic Script, VBS), который используется для распространения RAT-троянов, например, Remcos. Впервые он был обнаружен в 2019 году.
Хакеры перешли от заражённых документов Microsoft Word к исполняемым файлам NSIS для загрузки вредоносного ПО. Кампания нацелена не только на США и Южную Корею, но и на Германию, Саудовскую Аравию, Тайвань и Японию.
Файл NSIS (Nullsoft Scriptable Install System) представляет собой управляемый сценариями инструмент с открытым исходным кодом, используемый для разработки установщиков ОС Windows. Разработчик NSIS – компания Nullsoft, автор плеера Winamp.
Обнаруженная кампания использует NSIS-файлы, встроенные в ZIP- или ISO-образы, для активации заражения. Образы распространяются с помощью фишинговых электронных писем компаниям-жертвам. По словам исследователей из Trellix, внедрение вредоносных исполняемых файлов в архивы и образы позволяет злоумышленникам избежать обнаружения.
По словам экспертов, в течение 2022 года NSIS-сценарии, используемые для доставки GuLoader, усложнились, получив дополнительные уровни обфускации и шифрования для сокрытия шелл-кода.
Специалисты отметили, что миграция шелл-кода GuLoader в исполняемые файлы NSIS — яркий пример того, как киберпреступники проявляют изобретательность и настойчивость в уклонении от обнаружения, предотвращении анализа песочницы и воспрепятствовании реверс-инжинирингу.