NimzaLoader, un nuevo malware escrito en un lenguaje extra?o

A la hora de usar un lenguaje de programaci¨®n para concebir un malware, escoger a Nim no es precisamente algo habitual. Este lenguaje implementa caracter¨ªsticas de otros lenguajes m¨¢s tradicionales como son Python, Ada o Modula, y est¨¢ disponible para Windows, Linux y Mac. Y hoy es protagonista de una historia de correos fraudulentos.

TA800 y su NimzaLoader

Los investigadores de la empresa de seguridad Proofpoint se han encontrado con ¡°una interesante campa?a de correos electr¨®nicos fraudulentos de un actor de amenazas que rastreamos como TA800¡±. Este cibercriminal ha estado utilizando el malware BazaLoader desde abril de 2020, pero el 3 de febrero de 2021 distribuy¨® un nuevo malware llamado NimzaLoader.

Una de las caracter¨ªsticas distintivas de NimzaLoader es que est¨¢ escrito en el lenguaje de programaci¨®n Nim. Los programas maliciosos escritos en Nim son poco frecuentes en el panorama de las amenazas online, y su uso se debe a un intento por parte de TA800 de utilizar un lenguaje de programaci¨®n poco com¨²n para evitar la detecci¨®n.

?Por qu¨¦? Porque los ingenieros inversos pueden no estar familiarizados con la implementaci¨®n de Nim, o no estar centrados en el desarrollo de la detecci¨®n para ¨¦l, y por lo tanto las herramientas y las ¡®sandbox¡¯ -mecanismo para ejecutar programas con seguridad y de manera separada usado a menudo ejecutar c¨®digo nuevo, o software de dudosa confiabilidad proveniente de terceros- pueden tener dificultades para analizar muestras del mismo.

Caracter¨ªsticas de NimzaLoader

Seg¨²n Proofpoint, ¡°nuestro an¨¢lisis independiente corrobora que este malware no es una variante de BazaLoader. Algunas de las principales diferencias entre NimzaLoader y las variantes de BazaLoader que hemos analizado son¡±:

El 3 de febrero de 2021, Proofpoint observ¨® una campa?a de TA800 que distribu¨ªa NimzaLoader. En consonancia con la actividad anterior, esta campa?a utilizaba detalles personalizados en su se?uelo, incluyendo, el nombre del destinatario y/o el nombre de la empresa. Los mensajes conten¨ªan enlaces, que en algunos casos eran enlaces acortados, que pretend¨ªan ser un enlace a una vista previa de un PDF, pero que en cambio enlazaban con p¨¢ginas de destino de GetResponse (un servicio de marketing por correo electr¨®nico).

Las p¨¢ginas de destino conten¨ªan enlaces al "PDF", que era el ejecutable de NimzaLoader alojado en Slack y utilizaba un icono falso de Adobe en un intento de enga?ar al usuario. Hay algunas pruebas que sugieren que NimzaLoader se utiliza para descargar y ejecutar Cobalt Strike como carga ¨²til secundaria, pero no est¨¢ claro si este es su prop¨®sito principal.

Para Proofpoint no est¨¢ claro ¡°si Nimzaloader es s¨®lo algo pasajero, o ser¨¢ adoptado por otros cibercriminales de la misma manera que BazaLoader ha obtenido una amplia adopci¨®n. El hacker TA800 contin¨²a integrando diferentes t¨¢cticas en sus campa?as, con las ¨²ltimas campa?as que ofrecen directamente el ataque Cobalt¡±.