Οι απειλές για την ασφάλεια στον κυβερνοχώρο συνεχίζουν να εξελίσσονται με τους εισβολείς να χρησιμοποιούν πιο δημιουργικές τεχνικές κοινωνικής μηχανικής για να στοχεύουν οργανισμούς.
Μια πρόσφατη απειλή εμφανίστηκε σχετικά με το κακόβουλο λογισμικό Guloader, το οποίο συγκαλύπτεται ως αναφορές απόδοσης εργαζομένων για να εξαπατήσει τους χρήστες να κατεβάσουν και να εκτελέσουν κακόβουλα αρχεία.
Αυτός ο εξελιγμένος φορέας επίθεσης εκμεταλλεύεται την ανθρώπινη εμπιστοσύνη και την εξοικείωση στο χώρο εργασίας για να διανείμει επικίνδυνο κακόβουλο λογισμικό που μπορεί να θέσει σε κίνδυνο ευαίσθητα εταιρικά δεδομένα και προσωπικές πληροφορίες.
Η επίθεση ξεκινά με ένα email ηλεκτρονικού ψαρέματος που ισχυρίζεται ότι περιέχει μια αναφορά απόδοσης εργαζομένων του Οκτωβρίου 2025.
.webp.jpeg "Προσοχή στις αναφορές απόδοσης εργαζομένων με όπλα που αναπτύσσουν κακόβουλο λογισμικό Guloader")
Το email χρησιμοποιεί τακτικές επείγουσας ανάγκης αναφέροντας πιθανές απολύσεις υπαλλήλων, παρακινώντας τους παραλήπτες να ανοίξουν το συνημμένο.
Αυτή η ψυχολογική χειραγώγηση αυξάνει την πιθανότητα οι χρήστες να παρακάμπτουν την επίγνωση της ασφάλειας και να ανοίγουν κάτι που φαίνεται να είναι νόμιμο επιχειρηματικό έγγραφο.
Ο παραπλανητικός χαρακτήρας αυτής της καμπάνιας την καθιστά ιδιαίτερα επικίνδυνη, καθώς στοχεύει τη διασταύρωση της επικοινωνίας στον χώρο εργασίας και της ευπάθειας ασφάλειας.
Αναλυτές και ερευνητές της ASEC διάσημος ότι το συνημμένο αρχείο είναι ένα συμπιεσμένο αρχείο RAR που περιέχει ένα εκτελέσιμο αρχείο NSIS μεταμφιεσμένο ως “αρχείο προσωπικού pdf.exe”.
Εάν οι χρήστες έχουν κρυφές επεκτάσεις αρχείων στις ρυθμίσεις του λειτουργικού τους συστήματος, αυτό το εκτελέσιμο εμφανίζεται ως τυπικό έγγραφο PDF.
.webp.jpeg "Προσοχή στις αναφορές απόδοσης εργαζομένων με όπλα που αναπτύσσουν κακόβουλο λογισμικό Guloader")
Μόλις εκτελεστεί, το κακόβουλο λογισμικό ξεκινά μια διαδικασία μόλυνσης πολλαπλών σταδίων που έχει σχεδιαστεί για να αποφύγει τον εντοπισμό και να δημιουργήσει μόνιμη πρόσβαση στο σύστημα του θύματος.
Μηχανισμός μόλυνσης πολλαπλών σταδίων
Η κατανόηση του τρόπου λειτουργίας του Guloader αποκαλύπτει την περίπλοκη φύση αυτής της επίθεσης.
Όταν εκτελείται το εκτελέσιμο αρχείο, συνδέεται σε έναν απομακρυσμένο διακομιστή και κατεβάζει κρυπτογραφημένο κώδικα κελύφους από μια διεύθυνση URL του Google Drive, συγκεκριμένα από το “hxxps://drive.google[.]com/uc?export=download&id=1bzvByYrlHy240MCIX7Cv41gP9ZY3pRsgv” και ανακτά ένα αρχείο με το όνομα “EMvmKijceR91.bin”.
Στη συνέχεια, ο ληφθέντος shellcode εγχέεται απευθείας στη μνήμη του συστήματος, επιτρέποντας στο κακόβουλο λογισμικό να εκτελείται χωρίς εγγραφή αρχείων στο δίσκο.
Αυτή η τεχνική εκτέλεσης μόνο με μνήμη καθιστά τον εντοπισμό πολύ πιο δύσκολο για παραδοσιακές λύσεις ασφαλείας που βασίζονται στη σάρωση που βασίζεται σε αρχεία.
Το τελικό ωφέλιμο φορτίο που παραδίδεται από την Guloader είναι το Remcos RAT, ένα trojan απομακρυσμένης πρόσβασης που παρέχει στους εισβολείς ολοκληρωμένο έλεγχο σε μολυσμένα συστήματα.
.webp.jpeg "Προσοχή στις αναφορές απόδοσης εργαζομένων με όπλα που αναπτύσσουν κακόβουλο λογισμικό Guloader")
Το Remcos επιτρέπει στους παράγοντες απειλών να πραγματοποιούν καταγραφή πληκτρολογίου, να καταγράφουν στιγμιότυπα οθόνης, να ελέγχουν κάμερες και μικρόφωνα και να εξάγουν ιστορικά προγράμματος περιήγησης μαζί με αποθηκευμένους κωδικούς πρόσβασης.
Το κακόβουλο λογισμικό επικοινωνεί με διακομιστές εντολών και ελέγχου που βρίσκονται στο «196.251.116[.]219″ στις θύρες 2404 και 5000, δημιουργώντας μια μόνιμη σύνδεση για συνεχή μη εξουσιοδοτημένη πρόσβαση.
Οι οργανισμοί θα πρέπει να εφαρμόζουν κανόνες φιλτραρίσματος email για τον αποκλεισμό ύποπτων συνημμένων, να απενεργοποιούν την απόκρυψη επέκτασης αρχείου στα συστήματα χρηστών και να αναπτύσσουν προηγμένες λύσεις ανίχνευσης και απόκρισης τελικού σημείου για τον εντοπισμό και τον αποκλεισμό αυτής της απειλής σε πολλαπλά στάδια της αλυσίδας επίθεσης.
