Вредоносное ПО NimzaLoader

Новый загрузчик вредоносных программ начального уровня под названием NimzaLoader был замечен в рамках продолжающейся кампании атаки. Предполагается, что угрожающая операция осуществляется злоумышленником TA800, и на данный момент она была нацелена на сотни организаций, разбросанных по различным отраслям. Угроза вредоносного ПО распространяется через настраиваемые фишинговые электронные письма, нацеленные на отдельных сотрудников выбранной организации.

Электронные письма-приманки содержат личные данные о жертвах, такие как их имена и компания, и якобы написаны коллегой, который хочет помочь в просмотре предполагаемого файла PDF, содержащего рабочую презентацию. Затем в электронном письме содержится ссылка, которая перенаправляет на целевую страницу, размещенную на GetResponse, платформе электронного маркетинга. На странице жертвам представлена еще одна ссылка для загрузки поддельного PDF-файла, который является исполняемым файлом NimzaLoader.

Первоначальные исследования указали на то, что NimzaLoader является вариантом предыдущего вредоносного загрузчика, используемого группой TA800, но более тщательный анализ показал, что это не так. NimzaLoader - это особый штамм вредоносного ПО, который имеет несколько основных отличий от BazaLoader. Эти две угрозы используют разные методы обфускации, разные методы дешифрования строк и отдельные алгоритмы хеширования. Другие характеристики NimzaLoader включают использование JSON как части взаимодействия с серверами Command-and-Control (C2, C&C) и отсутствие алгоритма генерации домена.

После развертывания на целевом компьютере NimzaLoader может быть проинструктирован выполнить powershell.exe и внедрить шелл-код в процессы. Исследователи Infosec не смогли определить полезные нагрузки, доставленные на зараженные устройства, но некоторые свидетельства указывают на то, что это мощное вредоносное ПО Cobalt Strike. Вредоносная программа также имеет дату истечения срока действия в виде встроенной отметки времени, после которой NimzaLoader не запускается.

NimzaLoader Malware усиливает тенденцию киберпреступников искать малоизвестные и менее популярные языки программирования для своих угрожающих творений. NimzaLoader написан на языке программирования Nim, который недавно также использовался злоумышленником Zebrocy для разработки инструмента загрузки. Это имеет свои преимущества для злоумышленников, поскольку усложняет обнаружение угроз, а также увеличивает сложность любых попыток сообщества кибербезопасности их реконструировать.