Los investigadores de ciberseguridad han desenvuelto una “interesante campaña de correo electrónico” emprendida por un actor de amenazas que ha comenzado a distribuir un nuevo malware escrito en el lenguaje de programación Nim.
Apodado “NimzaLoader” por los investigadores de Proofpoint, el desarrollo marca uno de los raros casos de malware Nim descubierto en el panorama de amenazas.
“Los desarrolladores de malware pueden optar por utilizar un lenguaje de programación poco común para evitar la detección, ya que los ingenieros inversos pueden no estar familiarizados con la implementación de Nim o no estar enfocados en desarrollar la detección para ella, y por lo tanto, las herramientas y las cajas de arena pueden tener dificultades para analizar muestras”, los investigadores. dicho.
Proofpoint está rastreando a los operadores de la campaña bajo el nombre de “TA800”, quienes, dicen, comenzaron a distribuir NimzaLoader a partir del 3 de febrero de 2021. Antes de la última serie de actividad, se sabe que TA800 ha utilizado predominantemente BazaLoader desde abril de 2020.
Si bien APT28 se ha vinculado anteriormente a la entrega de malware de Zebrocy mediante cargadores basados en Nim , la aparición de NimzaLoader es otra señal de que los actores maliciosos están reestructurando constantemente su arsenal de malware para evitar la detección.
Los hallazgos de Proofpoint también han sido corroborados de forma independiente por investigadores del equipo de inteligencia de amenazas de Walmart, que denominaron al malware “Nimar Loader“.
Al igual que en el caso de BazaLoader, la campaña detectada el 3 de febrero hizo uso de señuelos de phishing de correo electrónico personalizados que contenían un enlace a un supuesto documento PDF que redirigía al destinatario a un ejecutable de NimzaLoader alojado en Slack, que usaba un icono falso de Adobe como parte de su trucos de ingeniería social.
Una vez abierto, el malware está diseñado para proporcionar a los atacantes acceso a los sistemas Windows de la víctima, junto con capacidades para ejecutar comandos arbitrarios recuperados de un servidor de comando y control, incluida la ejecución de comandos de PowerShell, la inyección de shellcode en los procesos en ejecución e incluso la implementación de más malware.
Evidencia adicional recopilada por Proofpoint y Walmart muestra que NimzaLoader también se está utilizando para descargar y ejecutar Cobalt Strike como su carga útil secundaria, lo que sugiere que los actores de amenazas integran diferentes tácticas en sus campañas.
“No está […] claro si Nimzaloader es solo un punto en el radar para TA800 – y el panorama de amenazas más amplio – o si Nimzaloader será adoptado por otros actores de amenazas de la misma manera que BazaLaoder ha ganado una amplia adopción”, los investigadores concluido.
Fuente: proofpoint.com.