Geral 2min de Leitura - 15 de março de 2021

NimzaLoader, o malware programado em linguagem incomum

notebook aberto sobre mesa

This post is also available in: Português

NimzaLoader foi programado com linguagem raramente usada por criminosos cibernéticos, o que pode dificultar sua detecção.

Vários filmes já mostraram cenas em que dois ou mais personagens falam uma língua diferente dos demais em determinados diálogos. A ideia é poder conversar na frente dos outros sobre assuntos que os demais não podem saber. Isso lhes dá liberdade para dialogar sem que seus segredos sejam revelados.

Talvez inspirados nas centenas de filmes que mostram esse recurso, os criadores do malware NimzaLoader o escreveram em uma linguagem de programação raramente usada para compilar códigos maliciosos.

Inicialmente identificado pelos pesquisadores de segurança cibernética da multinacional Proofpoint, o malware é escrito em Nim. Acredita-se que aqueles por trás do malware decidiram desenvolvê-lo dessa forma na esperança de que a escolha de uma linguagem de programação inesperada o torne mais difícil detectar e analisar.

Ação maliciosa

O NimzaLoader é projetado para dar aos invasores acesso a computadores Windows, bem como a capacidade de executar comandos. Isso poderia dar àqueles que administram o malware a chance de controlar a máquina, roubar informações confidenciais ou implantar um malware adicional.

Acredita-se que o malware seja o trabalho de um grupo de crackers conhecidos como TA800, que no momento tem como alvo principal uma ampla gama de indústrias na América do Norte.

O grupo geralmente está associado ao BazarLoader, uma forma de trojan que cria um backdoor completo em máquinas Windows, e é conhecido por ser usado para realizar ataques de ransomware.

Como funciona

Assim como o BazarLoader, o NimzaLoader é distribuído usando e-mails de phishing que vinculam as vítimas em potencial a um downloader de PDF falso, que, se executado, baixará o malware na máquina. Alguns dos e-mails de phishing são adaptados para alvos específicos com referências personalizadas, envolvendo detalhes pessoais como o nome do destinatário e a empresa para a qual trabalham.

O modelo das mensagens e a forma como o ataque tenta entregar a carga é consistente com as campanhas de phishing TA800 anteriores, levando os pesquisadores à conclusão de que o NimzaLoader também é o trabalho do que já era uma operação criminosa bem-sucedida, que agora tem mais um meio de ataque.

O TA800 frequentemente aproveita malwares diferentes e únicos, e os desenvolvedores podem ter escolhido usar uma linguagem de programação rara como o Nim para evitar a detecção, pois diversos especialistas em defesa podem não estar familiarizados com a implementação do Nim. Contudo, o malware está longe de ser imbatível, mas pode acabar tomando muito tempo para ser neutralizado.

Assim como ocorreu com o BazarLoader, existe a possibilidade de o NimzaLoader ser adotado como uma ferramenta a ser alugada para outros criminosos cibernéticos, como meio de distribuir seus próprios ataques de malware.

Empresas em perigo

Sendo o phishing o meio principal de distribuição do NimzaLoader, é recomendável que as empresas garantam que sua rede seja protegida com ferramentas que ajudam a evitar que e-mails maliciosos cheguem às caixas de entrada.

Também sugere-se oferecer treinamento à equipe sobre como detectar e-mails de phishing, especialmente quando campanhas como essa tentam explorar detalhes pessoais como forma de levar as vítimas a achar que se trata de um conteúdo legítimo.

Treinamentos do tipo, aliás, precisam ser constantemente atualizados em virtude da velocidade de inovação dos cibercriminosos. Os meios de ataque vão se tornando cada vez mais refinados, encontrando novas maneiras de invadir sistemas sem serem percebidos – seja com linguagens comuns ou incomuns.

This post is also available in: Português