Uma recente campanha de spear-phishing está mirando empresas industriais e de engenharia na Europa com o objetivo de instalar o downloader de malware GuLoader nos sistemas das vítimas. Esse ataque tem como objetivo final infectar os computadores comprometidos com um trojan de acesso remoto (RAT), permitindo que os invasores roubem informações e acessem os dispositivos a qualquer momento. Os e-mails maliciosos são enviados a partir de endereços variados, incluindo contas de empresas falsas e contas comprometidas.

Esses e-mails muitas vezes retomam uma conversa existente ou solicitam informações sobre um pedido, induzindo o destinatário a baixar um arquivo em anexo, que pode ser nos formatos .iso, .7z, .gzip ou .rar. Após a extração, o arquivo contém um script de PowerShell ofuscado, executado através de um arquivo batch. Ao ser executado, o arquivo batch inicia o download de um segundo script de PowerShell. Esse script realiza uma alocação de memória por meio da função VirtualAlloc (uma API nativa do Windows) e executa um shellcode.

O código malicioso é então injetado no processo legítimo “msiexec.exe”, permitindo que o malware se comunique com um domínio para buscar um payload adicional. Embora o domínio estivesse offline durante a análise, ataques anteriores com o GuLoader normalmente envolvem RATs como Remcos, NetWire e AgentTesla, que concedem aos invasores controle total sobre os dispositivos infectados. As técnicas de anti-análise usadas pelo GuLoader incluem o uso de códigos “lixo” e shellcodes criptografados, que tornam a análise mais complicada e exigem mais tempo dos analistas de segurança para identificar e entender o que está ocorrendo.