Pesquisadores da Proofpoint analisaram uma campanha que passou a distribuir um novo malware chamado NimzaLoader. Uma das características diferenciadas do malware é que ele foi escrito na linguagem de programação Nim, que é compilada, de alto nível e estaticamente tipada.
Segundo a Proofpoint, um malware escrito em Nim é raro no cenário de ameaças, e os seus desenvolvedores podem ter escolhido usar essa linguagem de programação para evitar a detecção, já que os engenheiros reversos podem não estar familiarizados com a implementação do Nim ou focados no desenvolvimento de detecção dele.
As análises iniciais do malware indicam que ele pode ser uma variante do BazaLoader – malware do qual existem muitas variantes. Algumas das principais diferenças entre o NimzaLoader e as variantes do BazaLoader que a Proofpoint analisou incluem, além da linguagem de programação completamente diferente, o fato de que o NimzaLoader não usa o mesmo ofuscador de nivelamento de código; não usa o mesmo estilo de descriptografia de string; não usa o mesmo algoritmo de hash da API do Windows; não usa o mesmo RC4, usando datas como o comando chave e descriptografia de resposta de controle; não usa um algoritmo de geração de domínio (DGA); e utiliza JSON em comunicações C&C.
Saiba mais sobre o malware em publicação da Proofpoint (em inglês).
Comentários Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.