ΑρχικήsecurityΤο NimzaLoader malware έχει γραφτεί σε Nim για να αποφύγει την ανίχνευση

Το NimzaLoader malware έχει γραφτεί σε Nim για να αποφύγει την ανίχνευση

Εγκληματίες του κυβερνοχώρου διανέμουν ένα νέο malware, το οποίο όμως, έχει ένα ιδιαίτερο χαρακτηριστικό. Είναι γραμμένο σε γλώσσα προγραμματισμού που σπάνια χρησιμοποιείται για κακόβουλο κώδικα. Οι ερευνητές της Proofpoint ονόμασαν αυτό το malware NimzaLoader.

NimzaLoader malware

Το NimzaLoader malware είναι γραμμένο στη γλώσσα προγραμματισμού Nim. Οι ερευνητές πιστεύουν ότι οι hackers πίσω από το κακόβουλο λογισμικό, το έφτιαξαν με αυτόν τον τρόπο, ελπίζοντας ότι η επιλογή μιας ασυνήθιστης γλώσσας προγραμματισμού θα καθιστούσε πιο δύσκολη την ανίχνευση και την ανάλυσή του.

Δείτε επίσης: Τα Go malware αυξήθηκαν κατά 2000% τα τελευταία χρόνια

Το NimzaLoader malware παρέχει πρόσβαση σε υπολογιστές με Windows και δίνει στους επιτιθέμενους τη δυνατότητα να εκτελέσουν εντολές. Αυτό σημαίνει ότι οι εγκληματίες μπορούν να ελέγχουν το μηχάνημα, να κλέβουν ευαίσθητες πληροφορίες ή να αναπτύξουν πρόσθετο κακόβουλο λογισμικό.

Δείτε επίσης: Windows Defender: Σφάλμα 12 ετών δίνει δικαιώματα διαχειριστή στους hackers

Οι ερευνητές πιστεύουν ότι το malware είναι έργο μιας ομάδας που έχει ονομαστεί από την Proofpoint, TA800. Αυτή η ομάδα έχει στοχεύσει οργανισμούς διαφόρων κλάδων στη Βόρεια Αφρική.

Η ομάδα έχει συνδεθεί και με το BazarLoader, ένα trojan που δημιουργεί backdoor σε παραβιασμένους υπολογιστές Windows και χρησιμοποιείται συνήθως για την πραγματοποίηση ransomware επιθέσεων.

Όπως το BazarLoader, το NimzaLoader διανέμεται μέσω phishing emails που συνδέουν τα θύματα με ένα ψεύτικο πρόγραμμα λήψης PDF, το οποίο, εάν εκτελεστεί, θα κατεβάσει το malware στο μηχάνημα. Τα phishing emails είναι, συνήθως, προσεγμένα και περιλαμβάνουν προσωπικά στοιχεία των θυμάτων για να φαίνονται πιο πειστικά.

Το template των μηνυμάτων και ο τρόπος παράδοσης του payload είναι σύμφωνος με τις προηγούμενες phishing εκστρατείες της TA800. Γι’ αυτό το λόγο, οι ερευνητές πιστεύουν ότι το NimzaLoader malware ανήκει πιθανότατα σε αυτή την ομάδα.

γλώσσα προγραμματισμού Nim

Η TA800 έχει αξιοποιήσει διαφορετικά και μοναδικά malware και οι προγραμματιστές ενδέχεται να έχουν επιλέξει να χρησιμοποιήσουν μια ασυνήθιστη γλώσσα προγραμματισμού, όπως η Nim, για να αποφύγουν τον εντοπισμό, καθώς οι reverse engineers ενδέχεται να μην είναι εξοικειωμένοι με την εφαρμογή της Nim, και επομένως εργαλεία και sandboxes ενδέχεται να δυσκολευτούν στην ανάλυση αυτού του δείγματος“, είπε ο Sherrod DeGrippo, ανώτερος διευθυντής στον τομέα της έρευνας και ανίχνευσης απειλών στην Proofpoint.

Καθώς το phishing είναι η βασική μέθοδος διανομής του NimzaLoader, οι οργανισμοί θα πρέπει να προστατεύσουν το δίκτυό τους με εργαλεία που αποτρέπουν την άφιξη κακόβουλων emails στο Inbox.

Χρήσιμη πληροφορία:Phishing emails: Πώς να τα αναγνωρίσετε και πώς να προστατευτείτε;

Επίσης, οι οργανισμοί θα πρέπει να εκπαιδεύσουν τους υπαλλήλους, ώστε να αναγνωρίζουν τα phishing emails.

Πηγή: ZDNet

Digital Fortress
Digital Fortresshttps://secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS