Threat Database Malware Logiciel malveillant NimzaLoader

Logiciel malveillant NimzaLoader

Un nouveau chargeur de logiciels malveillants appelé NimzaLoader a été observé dans le cadre d'une campagne d'attaque en cours. L'opération menaçante serait menée par l'acteur de la menace TA800 et elle a jusqu'à présent ciblé une centaine d'organisations réparties dans plusieurs secteurs industriels. La menace du logiciel malveillant est diffusée par le biais d'e-mails de phishing hautement personnalisés destinés aux employés individuels de l'entité choisie.

Les e-mails d'appât incluent des détails personnels sur les victimes, tels que leurs noms et leur entreprise, et prétendent être écrits par un collègue qui souhaite obtenir de l'aide pour examiner un fichier PDF supposé contenant une présentation de travail. L'e-mail fournit ensuite un lien qui redirige vers une page de destination hébergée sur GetResponse, une plateforme de marketing par e-mail. Sur la page, les victimes ont présenté un autre lien pour télécharger le faux PDF qui est l'exécutable NimzaLoader.

Les recherches initiales indiquaient que NimzaLoader était une variante d'un précédent malware de chargeur utilisé par le groupe TA800, mais une analyse plus approfondie a révélé que ce n'est pas le cas. NimzaLoader est une souche de malware distincte qui présente plusieurs différences majeures par rapport à BazaLoader. Les deux menaces utilisent des techniques d'obfuscation différentes, des méthodes différentes pour le décryptage des chaînes et des algorithmes de hachage séparés. D'autres caractéristiques de NimzaLoader incluent l'utilisation de JSON dans le cadre des communications avec les serveurs de commande et de contrôle (C2, C&C) et le fait qu'il ne dispose pas d'algorithme de génération de domaine.

Une fois déployé sur l'ordinateur de la cible, NimzaLoader peut être chargé d'exécuter powershell.exe et d'injecter du shellcode dans les processus. Les chercheurs d'Infosec n'ont pas été en mesure de déterminer les charges utiles livrées aux appareils infectés, mais certaines preuves indiquent qu'il s'agit du puissant malware Cobalt Strike. Le malware est également livré avec une date d'expiration sous la forme d'un horodatage intégré, après quoi NimzaLoader ne fonctionnera pas.

NimzaLoader Malware renforce la tendance des cybercriminels à rechercher des langages de programmation obscurs et moins populaires pour leurs créations menaçantes. NimzaLoader est écrit dans le langage de programmation Nim, qui a également été utilisé récemment pour le développement d'un outil de chargement par l'acteur de la menace Zebrocy. Cela présente des avantages pour les attaquants, car cela rend la détection des menaces plus difficile, tout en augmentant la difficulté de toute tentative de la communauté de la cybersécurité pour les faire de la rétro-ingénierie.

Tendance

Le plus regardé

Chargement...