Pesquisadores da ASEC e veículos de segurança relatam uma campanha de phishing que disfarça o Guloader como "relatórios de desempenho de funcionários" para induzir vítimas a executar um binário NSIS empacotado dentro de um RAR. A cadeia final entrega Remcos RAT via execução em memória.
Descoberta e escopo
A campanha utiliza mensagens com linguagem corporativa e tática de urgência (risco de demissão) para convencer alvos a abrir anexos. ASEC identificou que o anexo é um RAR contendo um executável NSIS com nome enganoso — por exemplo, staff record pdf.exe — que aparece como PDF caso a extensão do arquivo esteja oculta no sistema do usuário.
Vetor e mecanismo de execução
Ao executar o NSIS, o componente malicioso conecta-se a um URL do Google Drive (indicado na amostra por drive.google[.]com/uc?export=download&id=1bzvByYrlHy240MCIX7Cv41gP9ZY3pRsgv) e baixa um arquivo binário criptografado (nominalmente EMvmKijceR91.bin), que contém shellcode injetado diretamente na memória.
Evidências técnicas e payload
O processo de execução é descrito como "fileless" no estágio final: o shellcode é carregado em memória, evitando escrita em disco e dificultando detecção por soluções tradicionais de varredura baseada em arquivos. O payload final identificado nas amostras analisadas é o Remcos RAT, que fornece aos operadores capacidades de controle remoto como keylogging, captura de tela, controle de câmera/microfone e extração de credenciais armazenadas no navegador.
- Distribuição: e‑mail com anexo RAR.
- Execução: NSIS executable mascarado com extensão .exe.
- Implantação: download de shellcode a partir de Google Drive e injeção em memória.
- Comunicação C2: servidores indicados na análise (ex.: 196.251.116[.]219 portas 2404/5000).
Limites e o que não foi revelado
As análises públicas apresentam indicadores e fluxos observados nas amostras; no entanto, não há nesta divulgação uma lista completa de IOCs, nem dados sobre campanhas direcionadas a setores ou países específicos. Também não há informações públicas sobre uso massivo em produção ou campanhas de larga escala que afetem infraestrutura crítica coletiva.
Medidas recomendadas
Com base nas características do ataque, recomendações imediatas incluem:
- Bloquear anexos com formatos compressos contendo executáveis e inspecionar links para provedores de nuvem usados como repositórios temporários.
- Desabilitar a ocultação de extensões de arquivo em estações de trabalho e treinar usuários para desconfiar de anexos que exigem execução.
- Aplicar EDR com detecção de execução em memória e monitoramento de comportamentos de injeção de shellcode.
- Implementar regras de firewall/IDS para monitorar conexões para C2s conhecidos e destinos de Google Drive incomuns (com validação contextual).
Repercussão para defensores
A campanha reforça a continuidade das técnicas de engenharia social aliadas a cadeias de entrega que abusam de serviços legítimos (Google Drive) e de mecanismos de empacotamento (NSIS). Para equipes de segurança, isso exige combinar prevenção (filtragem de e‑mail), visibilidade (telemetria de endpoints) e prontidão para resposta (playbooks de contenção para execução em memória).
Fontes: análise e notas públicas da ASEC; relatório resumido em Cyber Security News.