NimzaLoader, le nouveau malware qui se rend presque indétectable

15 mars 2021 à 15h32
7
Capture d’écran de la landing page GetResponse de TA800 reliée au téléchargement de NimzaLoader (© Proofpoint)

Le groupe cybercriminel TA800 a distribué un nouveau logiciel malveillant, NimzaLoader, basé sur le langage de programmation Nim, plutôt rare dans le paysage des menaces. Ce qui le rend plus pernicieux.

Le moins que l'on puisse dire, c'est que le groupe TA800 est tout à fait innovant. Le collectif de cybercriminels, déjà connu pour avoir distribué le malware BazarLoader (puis la porte dérobée BazarBackdoor, capable de déposer le ransomware Ryuk) et derrière lequel on pourrait retrouver le gang Trickbot, a lancé une nouvelle campagne malveillante visant la distribution par email du malware désormais connu sous le nom de NimzaLoader, particulièrement difficile à détecter.

En utilisant le langage Nim, NimzaLoader s'assure une certaine liberté de manœuvre

Identifié par les chercheurs de Proofpoint, NimzaLoader a été observé pour la première fois le 3 février dernier. Ce nouveau logiciel malveillant présente la particularité d'être écrit dans un langage de programmation compilé et statiquement typé, Nim, créé par l'ingénieur logiciel Andreas Rumpf, basé sur des langages plus évolués, comme Python. Il se propage par courrier électronique, en utilisant l'infrastructure utilisée pour distribuer Trickbot, l'un des plus puissants malwares du globe.

Aujourd'hui, les malwares codés en Nim sont plutôt rares dans le paysage des menaces. Et c'est là tout le problème de NimzaLoader. Les pirates informatiques, développeurs de logiciels malveillants, peuvent se tourner vers un langage de programmation moins utilisé, pour échapper astucieusement aux radars de détection, et ainsi se rendre aussi dangereux qu'indétectables.

Un exemple de chaînes liées à Nim (© Proofpoint)

Une première analyse du logiciel malveillant a été menée sur Twitter. Celle-ci indique que NimzaLoader pourrait n'être qu'un simple variant de BazarLoader, qui dispose déjà lui-même de multiples variants. Mais des chercheurs de Walmart, qui ont confirmé que le malware était attribué au groupe cybercriminel derrière TrickBot, sont d'accord avec leurs homologues de Proofpoint pour affirmer que NimzaLoader n'est pas un variant de BazarLoader.

Une campagne par email avec un fichier PDF en exécutable du malware

Proofpoint a pu dissocier NimzaLoader des variants de BazarLoader en détaillant les différences relevées entre les deux malwares. D'abord, les chercheurs notent que l'écriture se fait dans un langage de programmation totalement différent. Ensuite, ils indiquent que le fait que NimzaLoader n'utilise pas le même style de chiffrement de chaîne de caractères constitue un autre indice fort. Les hackers n'utilisent pas non plus d'algorithmes de génération de noms de domaine (DGA), une technique qui aide les hackers à bifurquer d'un domaine à un autre, pour échapper au blocage et aux instruments de sécurité.

NimzaLoader utilise différents détails qui rendent crédible sa démarche. La campagne malveillante reprend le nom du destinataire et/ou le nom de l'entreprise. Le mail contient généralement des liens, parfois raccourcis, qui prétendent ouvrir un aperçu PDF. Les liens vers le fameux PDF (et la fausse icône Adobe) font en fait office d'exécutable de NimzaLoader, alors hébergé sur Slack.

Le leurre de NimzaLoader (© Proofpoint)

L'entreprise de cybersécurité Proofpoint est en mesure aujourd'hui d'affirmer que NimzaLoader peut très bien avoir été réutilisé par d'autres acteurs cybercriminels, à l'instar de BazarLoader ces derniers mois.

Source : Proofpoint

Modifié le 15/03/2021 à 15h46
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
Voir tous les messages sur le forum

Actualités récentes

Le nouveau SUV ID.6 se dévoile un peu plus avant le Salon de l'automobile de Shanghai
Xbox : Fable, Everwild et Perfect Dark pourraient ne pas sortir avant plusieurs années
Microsoft rachète Nuance, le spécialiste des assistants virtuels ayant donné naissance à Siri, pour 19,7 milliards de dollars (màj)
Bercy veut s'attaquer aux méthodes douteuses de dropshipping des influenceurs
En dépit des pénuries, les expéditions de PC ont augmenté de 55 % sur le premier trimestre 2021
Le Bitcoin à 400 000 dollars dès 2021 ? C’est une hypothèse, selon un rapport Bloomberg
Google abandonne son application mobile Google Shopping
Toyota tease son prochain crossover électrique, le premier modèle
Vous pouvez effectuer une capture d'écran précise dans Vivaldi
La sonde OSIRIS-REx a survolé une dernière fois l'astéroïde Bennu
Haut de page