Jump to content
  • NimzaLoader: o malware escrito na linguagem de programação Nim


    Pesquisadores da Proofpoint analisaram uma campanha que passou a distribuir um novo malware chamado NimzaLoader. Uma das características diferenciadas do malware é que ele foi escrito na linguagem de programação Nim, que é compilada, de alto nível e estaticamente tipada.

    Segundo a Proofpoint, um malware escrito em Nim é raro no cenário de ameaças, e os seus desenvolvedores podem ter escolhido usar essa linguagem de programação para evitar a detecção, já que os engenheiros reversos podem não estar familiarizados com a implementação do Nim ou focados no desenvolvimento de detecção dele.

    As análises iniciais do malware indicam que ele pode ser uma variante do BazaLoader – malware do qual existem muitas variantes. Algumas das principais diferenças entre o NimzaLoader e as variantes do BazaLoader que a Proofpoint analisou incluem, além da linguagem de programação completamente diferente, o fato de que o NimzaLoader não usa o mesmo ofuscador de nivelamento de código; não usa o mesmo estilo de descriptografia de string; não usa o mesmo algoritmo de hash da API do Windows; não usa o mesmo RC4, usando datas como o comando chave e descriptografia de resposta de controle; não usa um algoritmo de geração de domínio (DGA); e utiliza JSON em comunicações C&C.

    Saiba mais sobre o malware em publicação da Proofpoint (em inglês).


    User Feedback

    Recommended Comments



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...