Des chercheurs en cybersécurité ont déballé une « campagne de courrier électronique intéressante » entreprise par un acteur de la menace qui a commencé à distribuer un nouveau malware écrit en Nim langage de programmation.
Surnommé « NimzaLoader« par les chercheurs de Proofpoint, le développement marque l’un des rares cas de malwares Nim découverts dans le paysage des menaces.
«Les développeurs de logiciels malveillants peuvent choisir d’utiliser un langage de programmation rare pour éviter la détection, car les ingénieurs inverseurs peuvent ne pas être familiers avec l’implémentation de Nim, ou se concentrer sur le développement de la détection pour celle-ci, et par conséquent, les outils et les bacs à sable peuvent avoir du mal à en analyser des échantillons», les chercheurs mentionné.
Proofpoint suit les opérateurs de la campagne sous le surnom de «TA800», qui, disent-ils, ont commencé à distribuer NimzaLoader à partir du 3 février 2021. Avant le dernier rafting d’activité, TA800 est connu pour avoir principalement utilisé BazaLoader depuis avril 2020.
Alors qu’APT28 était auparavant lié à la diffusion de logiciels malveillants Zebrocy en utilisant Chargeurs basés sur Nim, l’apparition de NimzaLoader est un autre signe que les acteurs malveillants réorganisent constamment leur arsenal de malwares pour éviter d’être détectés.
Les résultats de Proofpoint ont également été corroborés de manière indépendante par des chercheurs de l’équipe de renseignement sur les menaces de Walmart, qui ont nommé le malware « Chargeur Nimar. «
Comme dans le cas de BazaLoader, la campagne repérée le 3 février a utilisé des leurres de phishing personnalisés contenant un lien vers un supposé document PDF qui redirigeait le destinataire vers un exécutable NimzaLoader hébergé sur Slack, qui utilisait une fausse icône Adobe dans le cadre de son astuces d’ingénierie sociale.
Une fois ouvert, le logiciel malveillant est conçu pour fournir aux attaquants un accès aux systèmes Windows de la victime, ainsi que des capacités pour exécuter des commandes arbitraires récupérées à partir d’un serveur de commande et de contrôle – y compris l’exécution de commandes PowerShell, l’injection de shellcode dans les processus en cours et même le déploiement supplémentaire les logiciels malveillants.
Des preuves supplémentaires rassemblées par Proofpoint et Walmart montrent que NimzaLoader est également utilisé pour télécharger et exécuter Cobalt Strike en tant que charge utile secondaire, ce qui suggère que les acteurs de la menace intègrent différentes tactiques dans leurs campagnes.
« Il est […] On ne sait pas si Nimzaloader est juste un échec sur le radar pour TA800 – et le paysage plus large des menaces – ou si Nimzaloader sera adopté par d’autres acteurs de la menace de la même manière que BazaLaoder a été largement adopté », ont conclu les chercheurs.