Μια πρόσφατη εκστρατεία spear-phishing στόχευε βιομηχανικές και μηχανολογικές εταιρείες στην Ευρώπη, χρησιμοποιώντας το GuLoader για τη μεταφορά κακόβουλου λογισμικού, συμπεριλαμβανομένου ενός Trojan απομακρυσμένης πρόσβασης (RAT).
Ο στόχος αυτής της εκστρατείας είναι να κάνει τα θύματα να κατεβάσουν και να εκτελέσουν επισυναπτόμενα αρχεία, όπως .iso, .7z, .gzip ή .rar, που περιέχουν ένα batch file με obfuscated PowerShell script. Το script αυτό κατεβάζει περαιτέρω αρχεία που εκτελούν κακόβουλο κώδικα, επιτρέποντας στους hackers να αποκτούν πρόσβαση σε παραβιασμένα συστήματα.
Δείτε ακόμα: Οι Κινέζοι hackers MirrorFace στοχεύουν Ευρωπαίους διπλωμάτες
Η Tara Gould, Υπεύθυνη Έρευνας Απειλών στην Cado Security, προειδοποίησε ότι τα email προέρχονται από διάφορες διευθύνσεις, συμπεριλαμβανομένων ψεύτικων εταιρειών και παραβιασμένων λογαριασμών, και συχνά επαναχρησιμοποιούν υπάρχοντα email.
Ανακάλυψη Αρχαίου Αιγυπτιακού Ναού σε Γκρεμό
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Το GuLoader χρησιμοποιεί τεχνικές απόκρυψης για να αποφύγει την ανίχνευση από τα συστήματα ασφαλείας, εκτελώντας κακόβουλο κώδικα μέσω νόμιμων διαδικασιών, καθιστώντας δύσκολη την ανίχνευση.
Η εκστρατεία στοχεύει εργαζόμενους σε εταιρείες ηλεκτρονικής κατασκευής και μηχανικής σε χώρες όπως η Ρουμανία, η Πολωνία, η Γερμανία και το Καζακστάν, με ορισμένα σενάρια να δείχνουν και στόχους στις Κάτω Χώρες και την Κροατία.
Διαβάστε επίσης: Spear-phishing καμπάνια μολύνει υπεύθυνους προσλήψεων με το backdoor More_eggs
Η Cado Security έχει δημοσιοποιήσει δείκτες συμβιβασμού και κανόνες Yara για να βοηθήσει οργανισμούς να αναζητήσουν αποδείξεις παραβίασης. Η επιτυχία αυτής της εκστρατείας οφείλεται στην ικανότητα της GuLoader να αποφεύγει την ανίχνευση και να αναπτύσσει διάφορα τελικά payloads χωρίς σημαντική παραμετροποίηση.
Πηγή: helpnetsecurity