NSIS, kependekan dari Nullsoft Scriptable Install System, adalah sistem sumber terbuka berbasis skrip yang digunakan untuk mengembangkan penginstal untuk sistem operasi Windows.
Dikutip dari The Hacker News, Trellix mengatakan aktivitas malspam ini terkenal karena beralih dari dokumen Microsoft Word yang mengandung malware ke file yang dapat dieksekusi NSIS untuk memuat malware. Bahkan, dalam dua minggu pertama bulan Desember 2022, Trellix mendeteksi minimal 5.000 peristiwa terkait lampiran email GuLoader. Setidaknya 15 pelanggan Trellix di 13 negara ditargetkan di 10 industri.
“Dalam kampanye ini, mereka menargetkan sejumlah negara seperti Jerman, Arab Saudi, Taiwan, dan Jepang,” kata perusahaan tersebut
Sementara itu, rantai serangan pada tahun 2021 memanfaatkan arsip ZIP yang berisi dokumen Word bertali makro untuk menjatuhkan file yang dapat dieksekusi yang bertugas memuat GuLoader, gelombang phishing baru menggunakan file NSIS yang disematkan dalam gambar ZIP atau ISO untuk mengaktifkan infeksi.
“Menyematkan file yang dapat dieksekusi berbahaya dalam arsip dan gambar dapat membantu pelaku ancaman menghindari deteksi,” kata peneliti Trellix, Nico Paulo Yturriaga.
Yturriaga menjelaskan, selama tahun 2022, skrip NSIS yang digunakan untuk mengirimkan GuLoader dikatakan telah berkembang dalam kecanggihan, dikemas dalam lapisan penyamaran dan enkripsi tambahan untuk menyembunyikan kode shell.
Saat pelaku ancaman mulai bertransisi ke file yang dapat dieksekusi NSIS pada Februari 2022, skrip NSIS tidak disamarkan. Skrip NSIS memuat file .dat secara langsung dan mengeksekusi konten file .dat sebagai kode shell. Pada beberapa sampel, script NSIS memanggil CreateFileA, CreateFileMappingA, MapViewofFile dan EnumDisplayMonitors yang memiliki fungsi callback untuk menjalankan shellcode.
Perkembangan ini juga melambangkan pergeseran yang lebih luas dalam lanskap ancaman, yang telah menyaksikan lonjakan metode distribusi malware alternatif sebagai tanggapan atas pemblokiran makro Microsoft dalam file Office yang diunduh dari internet. Muatan yang akan diunduh oleh GuLoader bervariasi, dan mungkin saja AgentTesla, LokiBot, NanoCore RAT, NetWire RAT, atau keluarga malware lainnya.
“Migrasi kode shell GuLoader ke file yang dapat dieksekusi NSIS adalah contoh penting untuk menunjukkan kreativitas dan kegigihan pelaku ancaman untuk menghindari deteksi, mencegah analisis kotak pasir, dan menghalangi rekayasa terbalik,” kata Yturriaga.
Comments
Post a Comment