Un nouveau malware se rendant presque indétectable sévit actuellement

Un groupe de cybercriminel nommé TA800 a créé un nouveau logiciel malveillant utilisant le langage de programmation Nim. Ce dernier se nomme NimzaLoader.

Le groupe TA800 n’en est pas à son coup d’essai, ces cybercriminels étaient déjà à la tête du malware BazarLoader. La nouvelle campagne malveillante distribue le malware NimzaLoader par email. Ce dernier est particulièrement compliqué à détecter du fait de l’utilisation du langage Nim. Le Nim étant un langage de programmation peu utilisé, cela rend le malware autant dangereux qu’indétectable.

NimzaLoader a été repéré la première fois début février par les chercheurs de Proofpoint. Il utilise l’infrastructure de Trickbot, l’un des malwares les plus puissants existants sur terre. Des chercheurs de Walmart ont pu affirmer à Proofpoint que NimzaLoader n’est pas un variant de BazarLoader. Ce qui dissocie ces deux malwares est le langage de programmation et le style de chiffrement de chaîne de caractère.

Agissant par emails, NimzaLoader passe sous les radars à cause des mises en page totalement crédibles reprenant le nom du destinataire et/ou le nom de l’entreprise. Cet email contient le plus souvent un lien ou un raccourci pour ouvrir un PDF. Ce faux lien vers le PDF exécute finalement le malware et ne nous amène donc pas sur un PDF.

Source : Clubic