Capture d’écran de la landing page GetResponse de TA800 reliée au téléchargement de NimzaLoader (© Proofpoint)
Capture d’écran de la landing page GetResponse de TA800 reliée au téléchargement de NimzaLoader (© Proofpoint)

Le groupe cybercriminel TA800 a distribué un nouveau logiciel malveillant, NimzaLoader, basé sur le langage de programmation Nim, plutôt rare dans le paysage des menaces. Ce qui le rend plus pernicieux.

Le moins que l'on puisse dire, c'est que le groupe TA800 est tout à fait innovant. Le collectif de cybercriminels, déjà connu pour avoir distribué le malware BazarLoader (puis la porte dérobée BazarBackdoor, capable de déposer le ransomware Ryuk) et derrière lequel on pourrait retrouver le gang Trickbot, a lancé une nouvelle campagne malveillante visant la distribution par email du malware désormais connu sous le nom de NimzaLoader, particulièrement difficile à détecter.

En utilisant le langage Nim, NimzaLoader s'assure une certaine liberté de manœuvre

Identifié par les chercheurs de Proofpoint, NimzaLoader a été observé pour la première fois le 3 février dernier. Ce nouveau logiciel malveillant présente la particularité d'être écrit dans un langage de programmation compilé et statiquement typé, Nim, créé par l'ingénieur logiciel Andreas Rumpf, basé sur des langages plus évolués, comme Python. Il se propage par courrier électronique, en utilisant l'infrastructure utilisée pour distribuer Trickbot, l'un des plus puissants malwares du globe.

Aujourd'hui, les malwares codés en Nim sont plutôt rares dans le paysage des menaces. Et c'est là tout le problème de NimzaLoader. Les pirates informatiques, développeurs de logiciels malveillants, peuvent se tourner vers un langage de programmation moins utilisé, pour échapper astucieusement aux radars de détection, et ainsi se rendre aussi dangereux qu'indétectables.

Un exemple de chaînes liées à Nim (© Proofpoint)
Un exemple de chaînes liées à Nim (© Proofpoint)

Une première analyse du logiciel malveillant a été menée sur Twitter. Celle-ci indique que NimzaLoader pourrait n'être qu'un simple variant de BazarLoader, qui dispose déjà lui-même de multiples variants. Mais des chercheurs de Walmart, qui ont confirmé que le malware était attribué au groupe cybercriminel derrière TrickBot, sont d'accord avec leurs homologues de Proofpoint pour affirmer que NimzaLoader n'est pas un variant de BazarLoader.

Une campagne par email avec un fichier PDF en exécutable du malware

Proofpoint a pu dissocier NimzaLoader des variants de BazarLoader en détaillant les différences relevées entre les deux malwares. D'abord, les chercheurs notent que l'écriture se fait dans un langage de programmation totalement différent. Ensuite, ils indiquent que le fait que NimzaLoader n'utilise pas le même style de chiffrement de chaîne de caractères constitue un autre indice fort. Les hackers n'utilisent pas non plus d'algorithmes de génération de noms de domaine (DGA), une technique qui aide les hackers à bifurquer d'un domaine à un autre, pour échapper au blocage et aux instruments de sécurité.

NimzaLoader utilise différents détails qui rendent crédible sa démarche. La campagne malveillante reprend le nom du destinataire et/ou le nom de l'entreprise. Le mail contient généralement des liens, parfois raccourcis, qui prétendent ouvrir un aperçu PDF. Les liens vers le fameux PDF (et la fausse icône Adobe) font en fait office d'exécutable de NimzaLoader, alors hébergé sur Slack.

Le leurre de NimzaLoader (© Proofpoint)

L'entreprise de cybersécurité Proofpoint est en mesure aujourd'hui d'affirmer que NimzaLoader peut très bien avoir été réutilisé par d'autres acteurs cybercriminels, à l'instar de BazarLoader ces derniers mois.

Source : Proofpoint