NimzaLoader, nuovo malware in linguaggio Nim difficile da analizzare

NimzaLoader, nuovo malware in linguaggio Nim difficile da analizzare

Un nuovo malware viene usato in una campagna di infezione ed è programmato con un linguaggio insolito che rende più complesse le procedure di reverse engineering

di pubblicata il , alle 13:21 nel canale Sicurezza
 

NimzaLoader è un nuovo malware, individuato dai ricercatori di Proofpoint, sviluppato in un linguaggio di programmazione insolito (almeno per questi scopi) e che per questo motivo porta un maggior grado di diffocoltà nelle operazioni di rilevamento e analisi.

Il nuovo malware è scritto in linguaggio Nim, che viene molto raramente usato in questi contesti. Chi sviluppa malware e sceglie di utilizzare un linguaggio di programmazione raro lo fa per mettere in difficoltà le operazioni di analisi poiché chi effettua reverse engineering sui campioni di malware raccolti potrebbe non avere familiarità con quel linguaggio di programmazione e gli strumenti sandbox potrebbero avere difficoltà ad analizzare il comportamento del malware.

Lo scopo primo di NimzaLoader è di dare agli attaccanti l'accesso a sistemi Windows e di eseguire comandi da remoto: in questo modo è possibile prendere controllo della macchina bersaglio per ulteriori fini, come la sottrazione di informazioni, lo spionaggio o la distribuzione di ulteriori malware.


Esempio di email di phishing per la distribuzione di NimzaLoader - Fonte: Proofpoint

Proofpoint attribuisce NimzaLoader ad un gruppo di criminali informatici chiamati TA8000 e che attualmente sembra impegnato in una campagna di hacking che sta prendendo di mira un ampio spettro di realtà in tutto il Nord America. Il gruppo TA8000 è solitamente associato a BazarLoader, un altro malware che installa una backdoor su sistemi Windows e viene successivamente sfruttato per condurre attacchi ransomware. NimzaLoader viene distribuito sfruttando email di phishing che inducono i bersagli a scaricare un falso downloader di PDF. Questo, una volta eseguito, scarica il malware sulla macchina.

I ricercatori evidenziano che alcune delle email di phishing sono state adattate con riferimenti personalizzati, come ad esempio nome del destinatario e azienda presso cui sono impiegati, per andare a colpire bersagli specifici. Proprio questo schema riconduce al modus operandi di TA8000, motivo che ha portato i ricercatori a collegare NimzaLoader all'attività del gruppo già noto e a considerarla come un altro mezzo di attacco di una campagna già in esecuzione.

Proofpoint indica poi che sono stati raccolti alcuni elementi che indicano come NimzaLoader possa essere usato per scaricare Cobalt Strike (per la distribuzione di ulteriori strumenti di penetrazione) come payload secondario. Vi è poi la possibilità, come già accaduto con BazarLoader, che NimzaLoader possa essere concesso in affitto a terze parti per altri attacchi di distribuzione malware.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
mattia.l15 Marzo 2021, 13:52 #1
Ma quello è Outlook 2010 su Windows Vista?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^