Специалисты по кибербезопасности компании Proofpoint обнаружили «интересную киберпреступную кампанию», в рамках которой по электронной почте происходит распространение вредоносного ПО, написанного на языке программирования Nim.
Эксперты Proofpoint назвали выявленное вредоносное ПО NimzaLoader. Это крайне редкий случай, когда в ландшафте угроз обнаруживается вредоносное ПО, написанное на Nim.
«Разработчики вредоносного ПО нечасто используют редкие языки программирования. Обычно это делается для избегания обнаружения, потому что многие реверс-инженеры попросту не знакомы с реализацией Nim, поэтому используемые ими инструменты и песочницы испытывают серьезные проблемы при анализе образцов таких вредоносных программ », – отмечают специалисты Proofpoint.
Сообщается, что операторы вредоносного ПО начали распространение NimzaLoader примерно 3 февраля 2021 года. Ранее хакерская группировка TA800 (APT28) использовала вредонос BazaLoader. Несмотря на то, что хакеры из APT28 ранее были связаны с доставкой вредоносного ПО Zebrocy с применением загрузчиков, также написанных на Nim, появление NimzaLoader – это явный признак того, что киберпреступники постоянно обновляют свой арсенал вредоносного ПО, чтобы успешно избегать обнаружения.
Как и в случае с BazaLoader, хакеры из группировки TA800 при распространении загрузчика NimzaLoader применяют традиционные персонализированные фишинговые приманки – ссылки на PDF-документы перенаправляли жертву на исполняемый файл NimzaLoader, который был размещен на Slack. PDF-документ имеет поддельный значок Adobe, что заставляет получателя поверить в подлинность файла.
После открытия документа вредоносное ПО предоставляет доступ киберпреступникам в систему Windows жертвы – хакеры имеют возможность выполнять произвольные команды, внедрять шелл-коды в запущенные процессы, развертывать дополнительные вредоносные программы.
Специалисты компании Proofpoint отмечают, что результаты проведенного исследования показывают факт использования вредоносного ПО NimzaLoader для загрузки и выполнения Cobalt Strike в качестве вторичной полезной нагрузки. Это говорит о том, что киберпреступники применяют различные тактики в своих кампаниях.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
