NimzaLoader Malware
Un nuovo caricatore di malware nella fase iniziale chiamato NimzaLoader è stato osservato come parte di una campagna di attacco in corso. Si ritiene che l'operazione minacciosa sia stata eseguita dall'attore della minaccia TA800 e finora ha preso di mira un centinaio di organizzazioni sparse in più settori industriali. La minaccia malware viene distribuita tramite e-mail di phishing altamente personalizzate rivolte ai singoli dipendenti dell'entità scelta.
Le e-mail esche includono dettagli personali sulle vittime come i loro nomi e la società e fingono di essere scritte da un collega che desidera aiuto nella revisione di un presunto file PDF contenente una presentazione di lavoro. L'email fornisce quindi un collegamento che reindirizza a una pagina di destinazione ospitata su GetResponse, una piattaforma di email marketing. Nella pagina, le vittime hanno presentato un altro collegamento per scaricare il PDF falso che è l'eseguibile di NimzaLoader.
La ricerca iniziale ha indicato che NimzaLoader è una variante di un precedente malware di caricamento utilizzato dal gruppo TA800, ma un'analisi più approfondita ha rivelato che non è così. NimzaLoader è un ceppo di malware distinto che mostra molte differenze importanti rispetto a BazaLoader. Le due minacce utilizzano diverse tecniche di offuscamento, diversi metodi per la decrittografia delle stringhe e algoritmi di hashing separati. Altre caratteristiche di NimzaLoader includono l'uso di JSON come parte delle comunicazioni con i server Command-and-Control (C2, C&C) e che non dispone di un algoritmo di generazione del dominio.
Una volta distribuito sul computer di destinazione, NimzaLoader può essere istruito per eseguire powershell.exe e iniettare shellcode nei processi. I ricercatori di Infosec non sono stati in grado di determinare i payload consegnati ai dispositivi infetti, ma alcune prove indicano che si tratta del potente malware Cobalt Strike. Il malware viene inoltre fornito con una data di scadenza sotto forma di un timestamp integrato, dopo il quale NimzaLoader non verrà eseguito.
NimzaLoader Malware rafforza la tendenza tra i criminali informatici a cercare linguaggi di programmazione oscuri e meno popolari per le loro creazioni minacciose. NimzaLoader è scritto nel linguaggio di programmazione Nim, che è stato recentemente utilizzato anche per lo sviluppo di uno strumento di caricamento dall'attore di minacce Zebrocy. Ciò ha i suoi vantaggi per gli aggressori, poiché rende più difficile il rilevamento delle minacce, aumentando anche la difficoltà di qualsiasi tentativo da parte della comunità della sicurezza informatica di decodificarle.
