NimzaLoader, le nouveau malware qui se rend presque indétectable

15 mars 2021 à 15h46
7
page destination PDF Nimza © Proofpoint
Capture d’écran de la landing page GetResponse de TA800 reliée au téléchargement de NimzaLoader (© Proofpoint)

Le groupe cybercriminel TA800 a distribué un nouveau logiciel malveillant, NimzaLoader, basé sur le langage de programmation Nim, plutôt rare dans le paysage des menaces. Ce qui le rend plus pernicieux.

Le moins que l'on puisse dire, c'est que le groupe TA800 est tout à fait innovant. Le collectif de cybercriminels, déjà connu pour avoir distribué le malware BazarLoader (puis la porte dérobée BazarBackdoor, capable de déposer le ransomware Ryuk) et derrière lequel on pourrait retrouver le gang Trickbot, a lancé une nouvelle campagne malveillante visant la distribution par email du malware désormais connu sous le nom de NimzaLoader, particulièrement difficile à détecter.

En utilisant le langage Nim, NimzaLoader s'assure une certaine liberté de manœuvre

Identifié par les chercheurs de Proofpoint, NimzaLoader a été observé pour la première fois le 3 février dernier. Ce nouveau logiciel malveillant présente la particularité d'être écrit dans un langage de programmation compilé et statiquement typé, Nim, créé par l'ingénieur logiciel Andreas Rumpf, basé sur des langages plus évolués, comme Python. Il se propage par courrier électronique, en utilisant l'infrastructure utilisée pour distribuer Trickbot, l'un des plus puissants malwares du globe.

Aujourd'hui, les malwares codés en Nim sont plutôt rares dans le paysage des menaces. Et c'est là tout le problème de NimzaLoader. Les pirates informatiques, développeurs de logiciels malveillants, peuvent se tourner vers un langage de programmation moins utilisé, pour échapper astucieusement aux radars de détection, et ainsi se rendre aussi dangereux qu'indétectables.

Nim NimzaLoader © Proofpoint
Un exemple de chaînes liées à Nim (© Proofpoint)

Une première analyse du logiciel malveillant a été menée sur Twitter. Celle-ci indique que NimzaLoader pourrait n'être qu'un simple variant de BazarLoader, qui dispose déjà lui-même de multiples variants. Mais des chercheurs de Walmart, qui ont confirmé que le malware était attribué au groupe cybercriminel derrière TrickBot, sont d'accord avec leurs homologues de Proofpoint pour affirmer que NimzaLoader n'est pas un variant de BazarLoader.

Une campagne par email avec un fichier PDF en exécutable du malware

Proofpoint a pu dissocier NimzaLoader des variants de BazarLoader en détaillant les différences relevées entre les deux malwares. D'abord, les chercheurs notent que l'écriture se fait dans un langage de programmation totalement différent. Ensuite, ils indiquent que le fait que NimzaLoader n'utilise pas le même style de chiffrement de chaîne de caractères constitue un autre indice fort. Les hackers n'utilisent pas non plus d'algorithmes de génération de noms de domaine (DGA), une technique qui aide les hackers à bifurquer d'un domaine à un autre, pour échapper au blocage et aux instruments de sécurité.

NimzaLoader utilise différents détails qui rendent crédible sa démarche. La campagne malveillante reprend le nom du destinataire et/ou le nom de l'entreprise. Le mail contient généralement des liens, parfois raccourcis, qui prétendent ouvrir un aperçu PDF. Les liens vers le fameux PDF (et la fausse icône Adobe) font en fait office d'exécutable de NimzaLoader, alors hébergé sur Slack.

NimzaLoader email © Proofpoint
Le leurre de NimzaLoader (© Proofpoint)

L'entreprise de cybersécurité Proofpoint est en mesure aujourd'hui d'affirmer que NimzaLoader peut très bien avoir été réutilisé par d'autres acteurs cybercriminels, à l'instar de BazarLoader ces derniers mois.

Source : Proofpoint

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
zoup01
Ils nous les brisent menues !!!
Space_Boy
Comprend rien à cet article. On s’en fiche du langage, c’est du compilé pour tourner sur Windows = assembleur à la fin non?<br /> Donc via un émail, on download ce méchant logiciel qui fait des trucs. OK, et en quoi c’est différent avec d’autres malware?
AlexLex14
C’est écrit dans l’article l’ami, la clé c’est justement le langage, qui pour le moment peut plus facilement passer outre les différents radars de détection.<br /> Dans la forme, pour l’utilisateur final qui se fait avoir, oui c’est un malware comme un autre, mais dans la détection, il est différent.
twenty94470
Cela ne nim à rien
AlexLex14
Ah bein elle est belle celle-là <br /> Tant que tu dis pas c’est NIMporte quoi
bmustang
faut être nimnim pour ouvrir un truc pareil
MCool
Professeur NIMbus?
Voir tous les messages sur le forum

Derniers actualités

Économisez sur le PC portable Huawei MateBook 14
Microsoft Teams tourne désormais nativement sous les puces Apple Silicon
Phishing : une nouvelle campagne déjoue la double authentification de Microsoft
Vostok 2 : 17 levers de Soleil autour de la Terre
Xiaomi dévoile ses lunettes de réalité augmentée, comme à son habitude un produit à l'excellent rapport qualité/ prix
Samsung Galaxy Watch 5 Pro : la fiche technique fuite, une référence en devenir ?
Vous allez comprendre pourquoi vous aurez besoin de ce VPN pendant vos vacances
Voici la liste des logiciels les plus utilisés par les pirates pour diffuser des malwares
Google Chrome 104 est disponible, découvrez toutes les nouveautés
Toute mini, toute mimi, une carte graphique Arc A380
Haut de page