網(wǎng)絡(luò)安全公司 Trellix 披露，GuLoader 惡意軟件“盯上了”韓國(guó)和美國(guó)的電子商務(wù)行業(yè)。

據(jù)悉，GuLoader 惡意軟件 進(jìn)行了升級(jí)迭代， 從帶有惡意軟件的 Microsoft Word 文檔過(guò)渡到了 NSIS 可執(zhí)行文件（ NSIS ：Nullsoft Scriptable Install System 的縮寫(xiě)，一個(gè)腳本驅(qū)動(dòng)的開(kāi)源系統(tǒng)，主要用于開(kāi)發(fā) Windows 操作系統(tǒng)的安裝程序）。值得一提的是，此次 GuLoader 勒索軟件攻擊目標(biāo)還包括德國(guó)、沙特阿拉伯、中國(guó)臺(tái)灣和日本等區(qū)域。

GuLoader 惡意軟件升級(jí)迭代

Trellix 研究人員 Yturriaga 表示，2021 ， GuLoader 惡意軟件攻擊鏈利用了包含宏定位 Word 文檔的 ZIP 存檔，刪除負(fù)責(zé)加載 GuLoader 的可執(zhí)行文件，經(jīng)版本更新后，開(kāi)始使用嵌入 ZIP 或 ISO 映像中的 NSIS 文件來(lái)激活感染鏈。

此外，據(jù)說(shuō)用于交付 GuLoader 的 NSIS 腳本已經(jīng)變得越來(lái)越復(fù)雜，它封裝了額外的混淆和加密層來(lái)隱藏外殼代碼，這一進(jìn)化標(biāo)志著威脅形勢(shì)發(fā)生了更廣泛的變化。隨著微軟阻止從互聯(lián)網(wǎng)下載 Office 文件中的宏，惡意軟件分發(fā)的方法開(kāi)始激增。

最后，Yturriaga 強(qiáng)調(diào) GuLoader 外殼代碼遷移到 NSIS 可執(zhí)行文件上這一變化，展現(xiàn)了網(wǎng)絡(luò)犯罪分子為逃避檢測(cè)、防止沙盒分析和阻礙逆向工程等方面的創(chuàng)造力和持久性。