skip to Main Content

Cybercrime: arriva NimzaLoader, veicolato tramite spear phishing

Il CSIRT-Italia: NimzaLoader è un nuovo malware veicolato tramite spear phishing

Si chiama NimzaLoader ed è un nuovo malware veicolato dal cybercrime tramite una campagna di spear phishing. Lo denunciano gli esperti di cybersecurity del CSIRT-Italia. L’esca della mail è una falsa imminente riunione aziendale. L’obiettivo è per indurre la vittima a cliccare su un link per visionare una presentazione PDF. I link osservati – spesso abbreviati tramite l’utilizzo di servizi “URL Shortener” – fanno in realtà riferimento a landing page ospitate su “GetResponse”, servizio gratuito tipicamente utilizzato per finalità di marketing, dove è presente il sample della minaccia. NimzaLoader è scritto nel linguaggio di programmazione Nim, estremamente raro nel panorama delle minacce cyber. Ciò al fine di ridurre il rilevamento dei pattern malevoli da parte dei meccanismi di sicurezza e rendere più difficoltoso il reverse engineering a causa della minore diffusione di analisti e/o strumenti automatici specifici.

Gli esperti di cybersecurity: ecco le caratteristiche del nuovo codice malevolo, scritto in Nim

Secondo gli esperti di cybersecurity, NimzaLoader si caratterizza per:

  • utilizzo di stringhe crittografate all’interno del codice;
  • utilizzo di un timestamp (aggiornabile) come data di scadenza per l’esecuzione del malware;
  • comunicazioni con il server di C&C tramite protocollo HTTPS;
  • esecuzione di comandi “cmd” e “powershell” sul sistema;
  • injection di shellcode in un processo in esecuzione;
  • possibilità di utilizzare beacon Cobalt Strike come payload di secondo livello.
Back To Top