Le malware NimzaLoader se propage grâce à des e-mails d’hameçonnage

0

Le groupe de menaces TA800 distribue un chargeur de logiciels malveillants, que les chercheurs appellent NimzaLoader, par l’intermédiaire d’e-mails d’hameçonnage ciblé.

Alors que l’analyse précédente de Twitter a identifié ce chargeur comme une simple variante des logiciels malveillants BazaLoader du groupe TA800, de nouvelles recherches indiquent que NimzaLoader est une souche différente avec ses propres méthodes distinctes de décryptage de chaines de caractères et ses techniques d’algorithme de hachage.

Le chargeur de logiciels malveillants est unique car il est écrit dans le langage de programmation Nim. L’utilisation de Nim est rare pour les logiciels malveillants, sauf dans de rares cas, comme un téléchargeur codé en Nim récemment utilisé par le groupe de menace Zebrocy. Les chercheurs pensent que les développeurs de logiciels malveillants utilisent Nim pour éviter la détection.

« Les développeurs de logiciels malveillants peuvent choisir d’utiliser un langage de programmation rare pour éviter la détection, car la rétro-ingénierie peut ne pas être familière avec la mise en œuvre de Nim, ou n’est pas axé sur le développement de détection pour ce langage, et donc les outils et les sandbox peuvent avoir du mal à analyser des échantillons», ont déclaré Dennis Schwarz et Matthew Mesa, des chercheurs de Proofpoint, dans un rapport.

NimzaLoader est utilisé comme « malware d’accès initial » et a d’abord été distribué par TA800 en Février, ont déclaré les chercheurs. TA800 est un distributeur affilié de TrickBot et BazaLoader (également connu sous le nom Bazarbackdoor, BazarCall, etc.). La campagne a été repérée ciblant environ 100 organisations, selon les chercheurs de Proofpoint.

L’objectif principal de NimzaLoader n’est pas clair pour le moment – cependant, certains détails suggèrent que le chargeur est utilisé pour télécharger et exécuter le malware Cobalt Strike en tant que charge utile secondaire, ont expliqué les chercheurs.

BazaLoader contre NimzaLoader

Une première analyse de NimzaLoader par divers chercheurs sur Twitter a indiqué qu’il pourrait s’agir d’une variante de BazaLoader, un autre chargeur utilisée par TA800 qui a pour fonction principale de télécharger et d’exécuter des modules supplémentaires. Mais, les chercheurs de Proofpoint ont souligné que NimzaLoader n’est pas seulement une variante BazaLoader: « En se basant sur nos observations des différences significatives, nous identifions cela comme une famille distincte de logiciels malveillants, » ont-ils déclaré.

Ils ont cité plusieurs différences majeures entre NimzaLoader et BazaLoader: Par exemple, les deux échantillons utilisent différents obfuscateurs de code, différents styles de décryptage de chaines de caractères et différents algorithmes de hachage d’API de Windows basé sur XOR/rotation, ont-ils expliqué. D’autres tactiques qui distinguent NimzaLoader incluent le fait que le malware n’utilise pas un algorithme de génération de domaine et qu’il utilise JSON dans ses communications de commande et de contrôle (C2).

La campagne d’e-mail d’hameçonnage ciblé

nimzaloader

Les chercheurs ont observé pour la première fois la campagne NimzaLoader le 3 février, sous forme d’e-mails avec des « détails personnalisés » pour les victimes – y compris leurs noms et noms d’entreprise.

Les messages prétendent provenir d’un collègue, disant qu’il est « en retard », qu’il est en route vers le bureau et demandant au destinataire de l’e-mail de vérifier une présentation. Le message envoie un lien URL (qui est raccourci) qui prétend être un lien vers un aperçu PDF.

Si le destinataire de l’e-mail clique sur le lien, il est redirigé vers une page de destination hébergée sur le service de marketing par e-mail GetResponse. Cette page est un lien vers le « PDF » et dit à la victime d’enregistrer pour prévisualiser. Ce lien à son tour mène la victime l’exécutable NimzaLoader.

Le malware exécutable NimzaLoader

Après une inspection plus approfondie, les chercheurs ont constaté que NimzaLoader est développé à l’aide de Nim (comme en témoignent diverses chaînes de caractère utilisant le mot « nim » dans l’exécutable). Le malware utilise principalement des chaînes cryptées, à l’aide d’un algorithme basé sur XOR et d’une seule clé par chaîne. Une chaîne cryptée contient une date qui est utilisée pour définir la date d’expiration d’un malware. Par exemple, dans un échantillon analysé, la date d’expiration a été fixée au 10 février à 1:20:55.003 p.m. – ce qui signifie que le malware ne fonctionnera pas après cette date et cette heure.

La plupart des autres chaînes contiennent des noms de commande. Ces commandes incluent la possibilité d’exécuter powershell.exe et d’injecter un shellcode dans un processus en tant que thread. Pendant que les serveurs C2 de NimzaLoader étaient hors ligne au moment de la recherche, les chercheurs ont déclaré qu’un sandobx public de malware semblait montrer que le malware recevait une commande PowerShell qui a finalement livré une balise Cobalt Strike.

« Nous ne sommes pas en mesure de valider ou de confirmer cette constatation, mais elle s’aligne sur les anciennes tactiques, techniques et procédures de TA800 », ont-ils déclaré.

Le groupe TA800: le futur de NimzaLoader

Les chercheurs ont lié NimzaLoader à TA800, un groupe de menaces qui a ciblé un large éventail d’industries en Amérique du Nord, infectant les victimes avec des chevaux de Troie bancaires et des chargeurs de logiciels malveillants.

Selon les chercheurs de Proofpoint, les campagnes précédentes de TA800 ont souvent inclus des e-mails malveillants avec les noms, les titres et les employeurs des destinataires, ainsi que des pages d’hameçonnage conçues pour ressembler à l’entreprise ciblée. Les chercheurs ont noté que le malware montre que TA800 continue d’intégrer différentes tactiques dans leurs campagnes.

« Il n’est … pas clair si Nimzaloader n’est qu’un blip sur le radar pour TA800 – et le paysage plus large de la menace – ou si Nimzaloader sera adopté par d’autres acteurs de la menace comme BazaLaoder qui a été largement adopté », ont déclaré les chercheurs.

Laisser un commentaire