Campagna malspam distribuisce NimzaLoader (AL01/210312/CSIRT-ITA)

Di recente è stata osservata una campagna malevola che veicola un nuovo malware denominato NimzaLoader tramite email di spear phishing.

Nel messaggio si fa riferimento infatti a una finta imminente riunione aziendale per indurre la vittima a cliccare su un link per visionare una presentazione PDF.

I link osservati – spesso abbreviati tramite l’utilizzo di servizi “URL Shortener” – fanno in realtà riferimento a landing page ospitate su “GetResponse”, servizio gratuito tipicamente utilizzato per finalità di marketing, dove è presente il sample della minaccia.

NimzaLoader è scritto nel linguaggio di programmazione Nim, estremamente raro nel panorama delle minacce cyber.

Ciò al fine di ridurre il rilevamento dei pattern malevoli da parte dei meccanismi di sicurezza e rendere più difficoltoso il reverse engineering a causa della minore diffusione di analisti e/o strumenti automatici specifici.

NimzaLoader si caratterizza per:
- utilizzo di stringhe crittografate all’interno del codice;
- utilizzo di un timestamp (aggiornabile) come data di scadenza per l’esecuzione del malware;
- comunicazioni con il server di C&C tramite protocollo HTTPS;
- esecuzione di comandi “cmd” e “powershell” sul sistema;
- injection di shellcode in un processo in esecuzione;
- possibilità di utilizzare beacon Cobalt Strike come payload di secondo livello.

Con riferimento alle ipotesi che vedevano NimzaLoader come una variante di BazarLoader, si evidenziano tuttavia le principali differenze:
- linguaggio di programmazione
- offuscatore di codice
- modalità di cifratura/decifratura delle stringhe
- algoritmo di hashing (basato su XOR)
- modalità di comunicazione con il server di C&C (algoritmo RS4 e oggetti JSON)

Riferimenti
https://www.proofpoint.com/us/blog/threat-insight/nimzaloader-ta800s-new-initial-access-malware