2021-3-22
O malware NimzaLoader é incomum porque está escrito numa linguagem de programação raramente utilizada por criminosos virtuais, o que dificulta a deteção e defesa do mesmo
Uma prolífica operação de hacking ciber-criminoso está a distribuir um novo malware que está escrito numa linguagem de programação raramente usada para compilar código malicioso. Apelidado de NimzaLoader por investigadores de cibersegurança na Proofpoint– o malware está escrito no Nim – e pensa-se que quem está por trás do malware decidiu desenvolvê-lo desta forma, na esperança de que escolher uma linguagem de programação inesperada torne mais difícil de detetar e analisar. O malware NimzaLoader foi concebido para fornecer aos ciber-atacantes acesso a computadores Windows e tem a capacidade de executar comandos – algo que pode dar, a quem controla o malware, a capacidade de controlar a máquina, roubar informações confidenciais ou até implementar malware adicional. Pensa-se que o malware seja o trabalho de um grupo de hacking ciber-criminoso a que a Proofpoint se refere como TA800, uma operação de hacking que visa uma vasta gama de indústrias em toda a América do Norte. O grupo é geralmente associado ao BazarLoader, uma forma de malware de Tróia que cria uma porta de entrada completa em máquinas Windows comprometidas e é conhecida por ser usada para fornecer ataques de ransomware. Tal como bazarLoader, o NimzaLoader é distribuído usando e-mails de phishing que ligam potenciais vítimas a um PDF falso, que, quando executado, descarrega o malware para a máquina. O modelo das mensagens e a forma como o ataque tenta entregar a carga útil é consistente com as campanhas de phishing TA800 anteriores. "O TA800 tem muitas vezes alavancado malware diferente e único, e os desenvolvedores podem optar por usar uma linguagem de programação rara como o Nim para evitar a deteção, uma vez que os engenheiros invertidos podem não estar familiarizados com a implementação ou foco da Nim no desenvolvimento e deteção para ele", afirma Sherrod DeGrippo, diretor sénior de pesquisa e deteção de ameaças na Proofpoint. Com o phishing como principal meio de distribuição do NimzaLoader, recomenda-se, portanto, que as organizações garantam que a sua rede é protegida com ferramentas que ajudam a evitar que e-mails maliciosos cheguem às caixas de entrada. Recomenda-se também que as organizações treinem os colaboradores sobre como detetar e-mails de phishing, especialmente quando campanhas como esta tentam explorar detalhes pessoais. |