网络安全公司Trellix透露,GuLoader恶意软件正在“瞄准”韩国和美国的电子商务行业。据悉,GuLoader恶意软件已经升级迭代,从充满恶意软件的MicrosoftWord文档转变为NSIS可执行文件(NSIS:NullsoftScriptableInstallSystem的缩写,一种脚本驱动的开源系统,主要用于开发Windows操作系统安装程序)。值得一提的是,GuLoader勒索软件攻击的目标还包括德国、沙特阿拉伯、台湾和日本。GuLoader恶意软件升级迭代Trellix研究员Yturriaga表示,2021年,GuLoader恶意软件攻击链利用包含宏定位Word文档的ZIP存档,删除负责加载GuLoader的可执行文件,并在版本更新后,开始使用嵌入式ZIP或ISO映像NSIS文件以激活感染链。此外,据称用于交付GuLoader的NSIS脚本变得越来越复杂,封装了额外的混淆和加密层以隐藏shellcode,这一演变标志着威胁格局发生了更广泛的变化。随着Microsoft阻止从Internet下载Office文件中的宏,恶意软件分发方法开始激增。最后,Yturriaga强调了GuLoadershellcode向NSIS可执行文件的转移,展示了网络犯罪分子逃避检测、阻止沙箱分析和阻碍逆向工程的创造性和持久性。
