BazarBackdoor est maintenant codé en Nim pour échapper aux antivirus

0

Le malware furtif BazarBackdoor de TrickBot a été réécrit dans le langage de programmation Nim pour pouvoir échapper à la détection des logiciels de sécurité.

Le gang de cybercriminels TrickBot déploie de plus en plus une version plus récente et plus furtive de son malware BazarBackdoor via des campagnes de spam. Une fois qu’un ordinateur est infecté, BazarBackdoor est utilisé pour fournir aux cybercriminels un accès à distance à l’ordinateur pour se propager latéralement à travers un réseau.

bazarbackdoor
Example d’e-mail d’hameçonnage de BazarBackdoor

La semaine dernière, la société de cybersécurité Intezer et Vitali Kremez d’Advanced Intel ont analysé un nouvel échantillon de BazarBackdoor et ont découvert que TrickBot l’avait réécrit avec le langage de programmation Nim.

Selon le site Web du langage de programmation, Nim s’inspire de Python, Ada et Modula et peut générer des exécutables pris en charge sur Windows, macOS et Linux.

« Nim est l’un des très rares langages programmables à typage statique, et combine la vitesse et l’efficacité de la mémoire du C, une syntaxe expressive, la sécurité de la mémoire et plusieurs langages cibles. » indique le site Web de Nim.

Comme il est rare de trouver des logiciels malveillants développés à l’aide de Nim, Kremez estime que TrickBot a traduit BazarBackdoor en Nim pour contourner la détection des logiciels antivirus.

«Le composant de porte dérobée capable d’exécuter des commandes est écrit en langage de programmation NIM pour échapper à la détection antivirus. Le groupe criminel a probablement choisi de poursuivre le développement de logiciels malveillants légers dans Nim pour contrecarrer le mécanisme de détection antivirus axé sur les binaires traditionnels compilés dans les langages de style C/C++. « 

« Il n’y a pas si longtemps, Golang est devenu un autre langage de choix pour certaines familles de logiciels malveillants, y compris le rançongiciel RobbinHood, principalement en raison du fait que de nombreux produits antivirus ne parviennent pas à traiter et à caractériser les binaires non conventionnels comme des logiciels malveillants en raison de la section unique et du contenu binaire introduit par le Nim et les langues exotiques similaires », a déclaré Vitali Kremez, PDG d’Advanced Intel.

Un autre malware connu et développé avec le langage de programmation Nim serait la famille de ransomwares appelée XCry [VirusTotal] découverte par MalwareHunterTeam en 2019.

Plus récemment, le ransomware DeroHE codé en Nim [VirusTotal] a été utilisé dans une attaque contre les utilisateurs du forum IObit.

Nim n’est pas le seul langage rare récemment utilisé pour créer des logiciels malveillants. Le mois dernier, Kremez a découvert que le nouveau ransomware Vovalex était écrit dans le langage de programmation D.

Laisser un commentaire