El malware NimzaLoader y porque ha sido difícil detectar

0 49

El malware NimzaLoader es inusual porque está escrito en un lenguaje de programación que rara vez utilizan los ciberdelincuentes, lo que podría dificultar su detección y defensa.

Una prolífica operación de piratería informática cibernética consiste en distribuir nuevo malware escrito en un lenguaje de programación que rara vez se utiliza para compilar código malicioso.

Apodado NimzaLoader por los investigadores de ciberseguridad de Proofpoint , el malware está escrito en Nim , y se cree que quienes están detrás del malware han decidido desarrollarlo de esta manera con la esperanza de que la elección de un lenguaje de programación inesperado dificulte su detección y análisis.

El malware NimzaLoader está diseñado para proporcionar a los atacantes cibernéticos acceso a computadoras con Windows y la capacidad de ejecutar comandos, algo que podría dar a quienes controlan el malware la capacidad de controlar la máquina, robar información confidencial o potencialmente implementar malware adicional.

Se cree que el malware es el trabajo de un grupo de piratería ciberdelincuente al que Proofpoint se refiere como TA800, una operación de piratería que se dirige a una amplia gama de industrias en América del Norte.

El grupo generalmente está asociado con BazarLoader , una forma de malware troyano que crea una puerta trasera completa en las máquinas Windows comprometidas y se sabe que se usa para lanzar ataques de ransomware .

Al igual que BazarLoader, NimzaLoader se distribuye mediante correos electrónicos de phishing que vinculan a las víctimas potenciales a un descargador de PDF falso que, si se ejecuta, descargará el malware en la máquina. Al menos algunos de los correos electrónicos de phishing están diseñados para objetivos específicos con referencias personalizadas que incluyen datos personales como el nombre del destinatario y la empresa para la que trabajan.

La plantilla de los mensajes y la forma en que el ataque intenta entregar la carga útil es consistente con las campañas de phishing TA800 anteriores, lo que lleva a los investigadores a la conclusión de que NimzaLoader también es el trabajo de lo que ya era una operación de piratería prolífica, que ahora ha agregado otro medio de ataque.

«TA800 ha aprovechado a menudo malware diferente y único, y los desarrolladores pueden optar por utilizar un lenguaje de programación poco común como Nim para evitar la detección, ya que los ingenieros inversos pueden no estar familiarizados con la implementación de Nim o no estar enfocados en desarrollar la detección para él y, por lo tanto, las herramientas y los entornos de prueba pueden Lucha para analizar muestras «, Sherrod DeGrippo, director senior de investigación y detección de amenazas en Proofpoint tols ZDNet.

Al igual que BazarLoader antes, existe la posibilidad de que NimzaLoader se adopte como una herramienta que se alquila a los ciberdelincuentes como un medio para distribuir sus propios ataques de malware.

Dado que el phishing es el medio clave para distribuir NimzaLoader, por lo tanto, se recomienda que las organizaciones se aseguren de que su red esté protegida con herramientas que ayuden a evitar que los correos electrónicos maliciosos lleguen a las bandejas de entrada en primer lugar.

También se recomienda que las organizaciones capaciten al personal sobre cómo detectar correos electrónicos de phishing, particularmente cuando campañas como esta intentan explotar los datos personales como un medio para alentar a las víctimas a bajar la guardia.

Recibe actualizaciones en tiempo real directamente en tu dispositivo, suscríbete ahora.

Deja una respuesta

Su dirección de correo electrónico no será publicada.

Este sitio web utiliza cookies para mejorar su experiencia. Asumimos que está de acuerdo con esto, Este sitio web utiliza cookies para mejorar su experiencia. Suponemos que está de acuerdo con esto, pero puede optar por no hacerlo si lo desea. Aceptar Leer Más