Los investigadores de seguridad cibernética han revelado una «campaña de correo electrónico interesante» realizada por un actor de amenazas que se ha dedicado a distribuir un nuevo malware escrito en el lenguaje de programación Nim.
Apodado «NimzaLoader» por los investigadores de Proofpoint, el desarrollo marca uno de los raros casos de malware Nim descubierto en el panorama de amenazas.
«Los desarrolladores de malware pueden optar por utilizar un lenguaje de programación poco común para evitar la detección, ya que los ingenieros inversos pueden no estar familiarizados con la implementación de Nim o no estar enfocados en desarrollar la detección para él y, por lo tanto, las herramientas y los entornos limitados pueden tener dificultades para analizar muestras», dijeron los investigadores. dicho.
Proofpoint está rastreando a los operadores de la campaña bajo el nombre de «TA800», quienes, dicen, comenzaron a distribuir NimzaLoader a partir del 3 de febrero de 2021. Antes de la última serie de actividades, se sabe que TA800 utilizó predominantemente BazaLoader desde abril de 2020.
Si bien APT28 se ha relacionado previamente con la entrega de malware Zebrocy usando Cargadores basados en Nimla aparición de NimzaLoader es otra señal más de que los actores maliciosos renuevan constantemente su arsenal de malware para evitar ser detectados.
Los hallazgos de Proofpoint también han sido corroborados de forma independiente por investigadores del equipo de inteligencia de amenazas de Walmart, que llamaron al malware «Nimar Loader».
Al igual que en el caso de BazaLoader, la campaña descubierta el 3 de febrero utilizó señuelos de phishing de correo electrónico personalizados que contenían un enlace a un supuesto documento PDF que redirigía al destinatario a un ejecutable de NimzaLoader alojado en Slack. El ejecutable también hizo uso de un ícono falso de Adobe como parte de sus trucos de ingeniería social para engañar al usuario para que descargue el malware.
Una vez abierto, el malware está diseñado para proporcionar a los atacantes acceso a los sistemas Windows de la víctima, junto con capacidades para ejecutar comandos arbitrarios recuperados de un servidor de comando y control, incluida la ejecución de comandos de PowerShell, la inyección de shellcode en los procesos en ejecución e incluso la implementación de comandos adicionales. programa malicioso
Evidencia adicional recopilada por Proofpoint y Walmart muestra que NimzaLoader también se está utilizando para descargar y ejecutar Cobalt Strike como su carga útil secundaria, lo que sugiere que el actor de amenazas está integrando diferentes tácticas en sus campañas.
«Está […] no está claro si Nimzaloader es solo un punto en el radar para TA800, y el panorama de amenazas más amplio, o si Nimzaloader será adoptado por otros actores de amenazas de la misma manera que BazaLaoder ha ganado una amplia adopción «, concluyeron los investigadores.
