fonte CSIRT Italia
Di recente è stata osservata una campagna malevola che veicola un nuovo malware denominato NimzaLoader tramite email di spear phishing. Nel messaggio si fa riferimento infatti a una finta imminente riunione aziendale per indurre la vittima a cliccare su un link per visionare una presentazione PDF. I link osservati – spesso abbreviati tramite l’utilizzo di servizi “URL Shortener” – fanno in realtà riferimento a landing page ospitate su “GetResponse”, servizio gratuito tipicamente utilizzato per finalità di marketing, dove è presente il sample della minaccia. NimzaLoader è scritto nel linguaggio di programmazione Nim, estremamente raro nel panorama delle minacce cyber. Ciò al fine di ridurre il rilevamento dei pattern malevoli da parte dei meccanismi di sicurezza e rendere più difficoltoso il reverse engineering a causa della minore diffusione di analisti e/o strumenti automatici specifici.
NimzaLoader si caratterizza per:
- utilizzo di stringhe crittografate all’interno del codice;
- utilizzo di un timestamp (aggiornabile) come data di scadenza per l’esecuzione del malware;
- comunicazioni con il server di C&C tramite protocollo HTTPS;
- esecuzione di comandi “cmd” e “powershell” sul sistema;
- injection di shellcode in un processo in esecuzione;
- possibilità di utilizzare beacon Cobalt Strike come payload di secondo livello.
Con riferimento alle ipotesi che vedevano NimzaLoader come una variante di BazarLoader, si evidenziano tuttavia le principali differenze:
- linguaggio di programmazione;
- offuscatore di codice;
- modalità di cifratura/decifratura delle stringhe;
- algoritmo di hashing (basato su XOR);
- modalità di comunicazione con il server di C&C (algoritmo RS4 e oggetti JSON).
Azioni consigliate
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le email ricevute e attivando le seguenti misure aggiuntive
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing;
- non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;