NimzaLoader, la nuova minaccia scritta in linguaggio Nim difficile da identificare - Cyber Security 360

L'ANALISI TECNICA

NimzaLoader, la nuova minaccia scritta in linguaggio Nim difficile da identificare

NimzaLoader è un nuovo malware diffuso con una campagna di phishing mirato che, grazie ad alcune tecniche di offuscamento e al codice scritto con il linguaggio di programmazione Nim, risulta difficile da rilevare e analizzare. Ecco tutti i dettagli

19 Mar 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Si chiama NimzaLoader il nuovo malware veicolato tramite tecniche di spear phishing con una campagna malspam osservata dai ricercatori di Proofpoint e attribuibile all’attore di minacce noto come TA800.

NimzaLoader: il testo delle e-mail di spear phishing

I messaggi di posta elettronica fraudolenti che stanno diffondendo il malware NimzaLoader fanno riferimento a un presunto e imminente meeting aziendale inducendo il destinatario ad aprire un link per visionare in anticipo una presentazione in PDF.

I link contenuti nel corpo dei messaggi di posta elettronica e spesso propinati in formati short, indirizzano, in realtà, verso delle pagine Web (con loghi e riferimenti Adobe) residenti su un noto servizio di e-mail marketing gratuito (GetResponse) e contenenti collegamenti per il download effettivo del payload.

Il testo del messaggio presenta tutti i tratti caratteristici dell’ingegneria sociale applicati al phishing e allo spear-phishing in particolare, con l’unico scopo, in questo caso, di riuscire a persuadere l’ignara vittima e installare il codice malevolo:

“Salve!

Sto venendo in macchina presso l’ufficio xxxxxx, ma sono in ritardo. Mi scuso.

Devo mostrarvi questa presentazione (anteprima PDF) prima delle 15:00.

Controllate per favore: https: //presentation-pdf-02-03-2021.gr8 [.com / (copia e incolla nel browser). Arriverò presto.

Con rispetto,

xxxxxxx”

Per rendere più credibile la trappola:

  • vengono riportati riferimenti a luoghi e persone afferenti all’organizzazione presa di mira;
  • viene manifestato uno stato d’urgenza;
  • vengono propinati dei link verosimili e contestualizzati allo stato d’urgenza manifestato;
  • il messaggio si conclude con un cordiale e rispettoso saluto.

Le caratteristiche tecniche del malware NimzaLoader

Seppur inizialmente i ricercatori avevano avanzato l’ipotesi che NimzaLoader fosse una variante della backdoor BazarLoader (probabile derivazione Trickbot) in auge ad aprile 2020, sono state successivamente evidenziate alcune differenze:

  • il linguaggio di programmazione Nim che ha anche ispirato i ricercatori nel dare il nome al nuovo malware. Evidenze riscontrabili dalle varie stringhe “nim” presenti nell’eseguibile. Essendo un linguaggio di programmazione raramente impiegato per questi scopi, rappresenta un fattore che riduce il rilevamento dei meccanismi di sicurezza e rende più difficoltoso anche il reverse engineering mirato;
  • le modalità di offuscamento del codice;
  • le modalità di cifratura/decifratura delle stringhe;
  • il tipo di algoritmo hashing impiegato (XOR);
  • la comunicazione C2 tramite algoritmi RS4 e record JSON.

Inoltre, come ulteriormente specificato, NimzaLoader si caratterizza anche per:

  • l’utilizzo di stringhe crittografate all’interno del codice;
  • l’utilizzo di un timestamp per la scadenza di esecuzione del malware;
  • le comunicazioni con i server C2 (hxxps:centralbancshares[.com, hxxps: gariloy[.com, hxxps: liqui-technik[.com) tramite protocollo HTTPS;
  • l’esecuzione di comandi di sistema “cmd” e “powershell”;
  • l’injection shellcode;
  • la possibilità di utilizzare il beacon Cobalt Strike, un noto threat emulation software usato dai Red Team, come eventuale payload di secondo livello (attività rilevata tramite sandbox pubblica).

Considerazioni finali

Pur restando valide le solite misure precauzionali finalizzate al riconoscimento del phishing e degli attacchi d’ingegneria sociale, prestando particolare cura nel verificare le e-mail ricevute e l’affidabilità dei link propinati, deve mantenersi comunque sempre alta l’attenzione soprattutto perché non è ancora chiaro se questa nuova minaccia apparsa in natura dal febbraio 2021 possa rappresentare nel prossimo futuro un’arma perfezionabile e sfruttata anche da altri gruppi criminali.

Al momento della ricerca, tutti i server C2 NimzaLoader noti sembrano inattivi ma ciò, come precisato dagli stessi analisti, è in linea con le tattiche, le tecniche e le procedure (TTPs) già messe in atto in passato dal gruppo TA800.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5