Pesquisadores da Proofpoint analisaram uma campanha que passou a distribuir um novo malware chamado NimzaLoader. Uma das características diferenciadas do malware é que ele foi escrito na linguagem de programação Nim, que é compilada, de alto nível e estaticamente tipada.
Segundo a Proofpoint, um malware escrito em Nim é raro no cenário de ameaças, e os seus desenvolvedores podem ter escolhido usar essa linguagem de programação para evitar a detecção, já que os engenheiros reversos podem não estar familiarizados com a implementação do Nim ou focados no desenvolvimento de detecção dele.
As análises iniciais do malware indicam que ele pode ser uma variante do BazaLoader – malware do qual existem muitas variantes. Algumas das principais diferenças entre o NimzaLoader e as variantes do BazaLoader que a Proofpoint analisou incluem, além da linguagem de programação completamente diferente, o fato de que o NimzaLoader não usa o mesmo ofuscador de nivelamento de código; não usa o mesmo estilo de descriptografia de string; não usa o mesmo algoritmo de hash da API do Windows; não usa o mesmo RC4, usando datas como o comando chave e descriptografia de resposta de controle; não usa um algoritmo de geração de domínio (DGA); e utiliza JSON em comunicações C&C.
Saiba mais sobre o malware em publicação da Proofpoint (em inglês).
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.