NimzaLoader, un nuevo malware escrito en un lenguaje extraño
Descubren una campaña de emails fraudulentos que usa un malware escrito en lenguaje de programación Nim.
A la hora de usar un lenguaje de programación para concebir un malware, escoger a Nim no es precisamente algo habitual. Este lenguaje implementa características de otros lenguajes más tradicionales como son Python, Ada o Modula, y está disponible para Windows, Linux y Mac. Y hoy es protagonista de una historia de correos fraudulentos.
TA800 y su NimzaLoader
Los investigadores de la empresa de seguridad Proofpoint se han encontrado con “una interesante campaña de correos electrónicos fraudulentos de un actor de amenazas que rastreamos como TA800”. Este cibercriminal ha estado utilizando el malware BazaLoader desde abril de 2020, pero el 3 de febrero de 2021 distribuyó un nuevo malware llamado NimzaLoader.
Una de las características distintivas de NimzaLoader es que está escrito en el lenguaje de programación Nim. Los programas maliciosos escritos en Nim son poco frecuentes en el panorama de las amenazas online, y su uso se debe a un intento por parte de TA800 de utilizar un lenguaje de programación poco común para evitar la detección.
¿Por qué? Porque los ingenieros inversos pueden no estar familiarizados con la implementación de Nim, o no estar centrados en el desarrollo de la detección para él, y por lo tanto las herramientas y las ‘sandbox’ -mecanismo para ejecutar programas con seguridad y de manera separada usado a menudo ejecutar código nuevo, o software de dudosa confiabilidad proveniente de terceros- pueden tener dificultades para analizar muestras del mismo.
Características de NimzaLoader
Según Proofpoint, “nuestro análisis independiente corrobora que este malware no es una variante de BazaLoader. Algunas de las principales diferencias entre NimzaLoader y las variantes de BazaLoader que hemos analizado son”:
- Está escrito en un lenguaje de programación completamente diferente
- No utiliza el mismo ofuscador de aplanamiento de código
- No utiliza el mismo estilo de descifrado de cadenas
- No utiliza el mismo algoritmo de hash de la API de Windows basado en XOR/rotación
- No utiliza el mismo RC4 usando fechas como clave de descifrado de respuestas de comando y control (C&C)
- No utiliza un algoritmo de generación de dominios (DGA)
- Utiliza JSON en las comunicaciones de C&C
El 3 de febrero de 2021, Proofpoint observó una campaña de TA800 que distribuía NimzaLoader. En consonancia con la actividad anterior, esta campaña utilizaba detalles personalizados en su señuelo, incluyendo, el nombre del destinatario y/o el nombre de la empresa. Los mensajes contenían enlaces, que en algunos casos eran enlaces acortados, que pretendían ser un enlace a una vista previa de un PDF, pero que en cambio enlazaban con páginas de destino de GetResponse (un servicio de marketing por correo electrónico).
Las páginas de destino contenían enlaces al "PDF", que era el ejecutable de NimzaLoader alojado en Slack y utilizaba un icono falso de Adobe en un intento de engañar al usuario. Hay algunas pruebas que sugieren que NimzaLoader se utiliza para descargar y ejecutar Cobalt Strike como carga útil secundaria, pero no está claro si este es su propósito principal.
Para Proofpoint no está claro “si Nimzaloader es sólo algo pasajero, o será adoptado por otros cibercriminales de la misma manera que BazaLoader ha obtenido una amplia adopción. El hacker TA800 continúa integrando diferentes tácticas en sus campañas, con las últimas campañas que ofrecen directamente el ataque Cobalt”.