GuLoader fait des ravages dans le secteur du e-commerce

0
325

En décembre dernier, les nouvelles techniques adoptées par le diffuseur de malware GuLoader ont été dévoilées. Ce malware a la capacité d’échapper aux contrôles de détection de différents systèmes de sécurité, ce qui le rend particulièrement malléable pour les cybercriminels souhaitant améliorer leurs attaques.

GuLoader est un téléchargeur de shellcode avancé tristement célèbre pour utiliser des astuces anti-analyse pour échapper à la détection et entraver le reverse engineering. Au moment d’écrire ces lignes, une campagne agressive GuLoader est en cours. Les clients de Trellix dans l’industrie du commerce électronique situés en Corée du Sud et aux États-Unis ont été fortement ciblés par les opérateurs de GuLoader. Dans ce blog, nous couvrons les multiples types d’archives utilisées par les acteurs de la menace pour inciter les utilisateurs à ouvrir une pièce jointe à un e-mail. Nous couvrons également la progression de sa diffusion au sein de NSIS (Nullsoft Scriptable Install System) fichiers exécutables en affichant l’obfuscation et le chiffrement de chaîne mises à jour jusqu’en 2022. Il est basé sur NSIS, un système open source utilisé pour développer des installateurs Windows.

Dans une nouvelle analyse effectuée par les chercheurs Trellix, il a été constaté que GuLoader se propage de manière agressive, ciblant particulièrement les secteurs de l’e-commerce en Corée du Sud et aux États-Unis.

Cette recherche récence de multiples exemples d’archives utilisés par les acteurs de la menace pour inciter les utilisateurs à ouvrir une pièce jointe. Il se concentre notamment sur la façon de livrer le GuLoader via NSIS, un système open-source utilisé pour développer des installateurs Windows, et la manière dont ce malware permet aux cybercriminels d’éviter plus facilement les systèmes de sécurité.

Selon les chercheurs, le code NSIS et le shellcode du GuLoader étaient plus simples en février 2022. Cependant, le script NSIS est devenu plus obfusqué vers la fin de l’année. La migration du shellcode GuLoader vers les fichiers exécutables NSIS est un exemple notable qui montre la créativité et la persistance des acteurs de la menace pour échapper à la détection des systèmes de sécurité.

Le paper est disponible ici en PDF.