Di recente il CSIRT-Italia ha rilasciato un avviso relativo a una campagna malevola che veicola un nuovo malware denominato “NimzaLoader” tramite email di spear phishing.
L’esca della email è una “finta imminente riunione aziendale” cui si fa riferimento per indurre la vittima a cliccare su un link per visionare una presentazione PDF.
I link osservati – spesso abbreviati tramite l’utilizzo di servizi “URL Shortener” – fanno in realtà riferimento a landing page ospitate su “GetResponse”, servizio gratuito tipicamente utilizzato per finalità di marketing, dove è presente il sample della minaccia.
Il malware è scritto nel linguaggio di programmazione Nim, estremamente raro nel panorama delle minacce cyber, al fine di ridurre il rilevamento dei pattern malevoli da parte dei meccanismi di sicurezza e rendere più difficoltoso il reverse engineering a causa della minore diffusione di analisti e/o strumenti automatici specifici.
NimzaLoader si caratterizza per:
- utilizzo di stringhe crittografate all’interno del codice;
- utilizzo di un timestamp (aggiornabile) come data di scadenza per l’esecuzione del malware;
- comunicazioni con il server di C&C tramite protocollo HTTPS;
- esecuzione di comandi “cmd” e “powershell” sul sistema;
- injection di shellcode in un processo in esecuzione;
- possibilità di utilizzare beacon Cobalt Strike come payload di secondo livello.
Azioni consigliate
Gli esperti di sicurezza del CSIRT-Italia comunicano agli utenti e alle organizzazioni che possono far fronte a questa tipologia di attacco verificando scrupolosamente le email ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing;
- non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
- valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.
https://csirt.gov.it/contenuti/campagna-malspam-distribuisce-nimzaloader-al01-210312-csirt-ita
