NimzaLoader, le nouveau logiciel malveillant indétectable de TA800

0

Les chercheurs Proofpoint ont observé une nouvelle campagne d’emails malveillants provenance de de l’acteur TA800. Après avoir principalement utilisé BazaLoader depuis avril 2020, le groupe de cyberattaquants a distribué le 3 février dernier un nouveau logiciel malveillant connu sous le nom de NimzaLoader

L’une des caractéristiques de NimzaLoader est qu’il est écrit dans le langage de programmation Nim. Les logiciels malveillants écrits en Nim sont rares dans le paysage des menaces. Les développeurs de logiciels malveillants peuvent choisir d’utiliser un langage de programmation rare afin de les rendre indétectables.

Une première analyse du logiciel malveillant sur Twitter indique que NimzaLoader pourrait être en réalité un nouveau variant de BazaLoader, qui en possède déjà de nombreux autres. Les chercheurs Joshua Platt et Jason Reaves de Walmart ont présenté au début du mois de mars un excellent article au sujet du logiciel malveillant NimzaLoader. L’analyse indépendante des chercheurs Proofpoint corrobore leurs affirmations selon lesquelles ce logiciel malveillant n’est pas un variant de BazaLoader. 

Parmi les principales différences entre NimzaLoader et les variantes de BazaLoader que identifiées par Proofpoint, nous retrouvons :

  • l’écriture du langage de programmation complètement différent
  • le fait que NimzaLoader n’utilise pas le même style de chiffrement de chaîne de caractères

Nimzaloader n’est qu’une munition parmi toutes celles initiées par TA800, et le paysage des menaces plus globalement. Il n’est pas impossible que Nimzaloader soit adopté par d’autres acteurs de la menace, de la même manière que BazaLaoder ait été largement adopté durant ces derniers mois.

Une image contenant texte

Description générée automatiquement

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply