Campagna malevola che veicola NimzaLoader

fonte CSIRT Italia

Di recente è stata osservata una campagna malevola che veicola un nuovo malware denominato NimzaLoader tramite email di spear phishing. Nel messaggio si fa riferimento infatti  a una finta imminente riunione aziendale per indurre la vittima a cliccare su un link per visionare una presentazione PDF. I link osservati – spesso abbreviati tramite l’utilizzo di servizi “URL Shortener” – fanno in realtà riferimento a landing page ospitate su “GetResponse”, servizio gratuito tipicamente utilizzato per finalità di marketing, dove è presente il sample della minaccia. NimzaLoader è scritto nel linguaggio di programmazione Nim, estremamente raro nel panorama delle minacce cyber. Ciò al fine di ridurre il rilevamento dei pattern malevoli da parte dei meccanismi di sicurezza e rendere più difficoltoso il reverse engineering a causa della minore diffusione di analisti e/o strumenti automatici specifici.

NimzaLoader si caratterizza per:

• utilizzo di stringhe crittografate all’interno del codice;
• utilizzo di un timestamp (aggiornabile) come data di scadenza per l’esecuzione del malware;
• comunicazioni con il server di C&C tramite protocollo HTTPS;
• esecuzione di comandi “cmd” e “powershell” sul sistema;
• injection di shellcode in un processo in esecuzione;
• possibilità di utilizzare beacon Cobalt Strike come payload di secondo livello.

Con riferimento alle ipotesi che vedevano NimzaLoader come una variante di BazarLoader, si evidenziano tuttavia le principali differenze:

• linguaggio di programmazione;
• offuscatore di codice;
• modalità di cifratura/decifratura delle stringhe;
• algoritmo di hashing (basato su XOR);
• modalità di comunicazione con il server di C&C (algoritmo RS4 e oggetti JSON).