Le groupe cybercriminel TA800 a distribué un nouveau logiciel malveillant, NimzaLoader, basé sur le langage de programmation Nim, plutôt rare dans le paysage des menaces. Ce qui le rend plus pernicieux.
Le moins que l'on puisse dire, c'est que le groupe TA800 est tout à fait innovant. Le collectif de cybercriminels, déjà connu pour avoir distribué le malware BazarLoader (puis la porte dérobée BazarBackdoor, capable de déposer le ransomware Ryuk) et derrière lequel on pourrait retrouver le gang Trickbot, a lancé une nouvelle campagne malveillante visant la distribution par email du malware désormais connu sous le nom de NimzaLoader, particulièrement difficile à détecter.
En utilisant le langage Nim, NimzaLoader s'assure une certaine liberté de manœuvre
Identifié par les chercheurs de Proofpoint, NimzaLoader a été observé pour la première fois le 3 février dernier. Ce nouveau logiciel malveillant présente la particularité d'être écrit dans un langage de programmation compilé et statiquement typé, Nim, créé par l'ingénieur logiciel Andreas Rumpf, basé sur des langages plus évolués, comme Python. Il se propage par courrier électronique, en utilisant l'infrastructure utilisée pour distribuer Trickbot, l'un des plus puissants malwares du globe.
Aujourd'hui, les malwares codés en Nim sont plutôt rares dans le paysage des menaces. Et c'est là tout le problème de NimzaLoader. Les pirates informatiques, développeurs de logiciels malveillants, peuvent se tourner vers un langage de programmation moins utilisé, pour échapper astucieusement aux radars de détection, et ainsi se rendre aussi dangereux qu'indétectables.
Une première analyse du logiciel malveillant a été menée sur Twitter. Celle-ci indique que NimzaLoader pourrait n'être qu'un simple variant de BazarLoader, qui dispose déjà lui-même de multiples variants. Mais des chercheurs de Walmart, qui ont confirmé que le malware était attribué au groupe cybercriminel derrière TrickBot, sont d'accord avec leurs homologues de Proofpoint pour affirmer que NimzaLoader n'est pas un variant de BazarLoader.
Une campagne par email avec un fichier PDF en exécutable du malware
Proofpoint a pu dissocier NimzaLoader des variants de BazarLoader en détaillant les différences relevées entre les deux malwares. D'abord, les chercheurs notent que l'écriture se fait dans un langage de programmation totalement différent. Ensuite, ils indiquent que le fait que NimzaLoader n'utilise pas le même style de chiffrement de chaîne de caractères constitue un autre indice fort. Les hackers n'utilisent pas non plus d'algorithmes de génération de noms de domaine (DGA), une technique qui aide les hackers à bifurquer d'un domaine à un autre, pour échapper au blocage et aux instruments de sécurité.
NimzaLoader utilise différents détails qui rendent crédible sa démarche. La campagne malveillante reprend le nom du destinataire et/ou le nom de l'entreprise. Le mail contient généralement des liens, parfois raccourcis, qui prétendent ouvrir un aperçu PDF. Les liens vers le fameux PDF (et la fausse icône Adobe) font en fait office d'exécutable de NimzaLoader, alors hébergé sur Slack.
L'entreprise de cybersécurité Proofpoint est en mesure aujourd'hui d'affirmer que NimzaLoader peut très bien avoir été réutilisé par d'autres acteurs cybercriminels, à l'instar de BazarLoader ces derniers mois.
Source : Proofpoint
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
