Malware NimzaLoader

Se ha observado un nuevo cargador de malware en etapa inicial llamado NimzaLoader como parte de una campaña de ataque en curso. Se cree que la amenazante operación la lleva a cabo el actor de amenazas TA800 y hasta ahora se ha dirigido a un centenar de organizaciones distribuidas en múltiples sectores industriales. La amenaza de malware se distribuye a través de correos electrónicos de phishing altamente personalizados dirigidos a empleados individuales de la entidad elegida.

Los correos electrónicos de cebo incluyen detalles personales sobre las víctimas, como sus nombres y compañía, y pretenden ser escritos por un compañero de trabajo que quiere ayuda para revisar un supuesto archivo PDF que contiene una presentación de trabajo. Luego, el correo electrónico proporciona un enlace que redirige a una página de destino alojada en GetResponse, una plataforma de marketing por correo electrónico. En la página, a las víctimas se les presenta otro enlace para descargar el PDF falso que es el ejecutable de NimzaLoader.

La investigación inicial apuntaba a que NimzaLoader era una variante de un malware cargador anterior utilizado por el grupo TA800, pero un análisis más exhaustivo reveló que este no es el caso. NimzaLoader es una cepa de malware distinta que presenta varias diferencias importantes en comparación con BazaLoader. Las dos amenazas utilizan diferentes técnicas de ofuscación, diferentes métodos para el descifrado de cadenas y algoritmos hash separados. Otras características de NimzaLoader incluyen el uso de JSON como parte de las comunicaciones con los servidores de Comando y Control (C2, C&C) y que no tiene un algoritmo de generación de dominio.

Una vez implementado en la computadora del objetivo, NimzaLoader puede recibir instrucciones para ejecutar powershell.exe e inyectar shellcode en los procesos. Los investigadores de Infosec no han podido determinar las cargas útiles entregadas a los dispositivos infectados, pero cierta evidencia apunta a que se trata del poderoso malware Cobalt Strike. El malware también viene con una fecha de vencimiento en forma de marca de tiempo incorporada, después de la cual NimzaLoader no se ejecutará.

NimzaLoader Malware refuerza la tendencia entre los ciberdelincuentes de buscar lenguajes de programación oscuros y menos populares para sus creaciones amenazantes. NimzaLoader está escrito en el lenguaje de programación Nim, que también fue utilizado recientemente para el desarrollo de una herramienta de carga por el actor de amenazas de Zebrocy. Hacerlo tiene sus beneficios para los atacantes, ya que dificulta la detección de las amenazas, al tiempo que aumenta la dificultad de cualquier intento de la comunidad de ciberseguridad de realizar ingeniería inversa.