Di recente il CSIRT-Italia ha rilasciato un avviso relativo a una campagna malevola che veicola un nuovo malware denominato “NimzaLoader” tramite email di spear phishing.

L’esca della email è una “finta imminente riunione aziendale” cui si fa riferimento per indurre la vittima a cliccare su un link per visionare una presentazione PDF.

I link osservati – spesso abbreviati tramite l’utilizzo di servizi “URL Shortener” – fanno in realtà riferimento a landing page ospitate su “GetResponse”, servizio gratuito tipicamente utilizzato per finalità di marketing, dove è presente il sample della minaccia.

Il malware è scritto nel linguaggio di programmazione Nim, estremamente raro nel panorama delle minacce cyber, al fine di ridurre il rilevamento dei pattern malevoli da parte dei meccanismi di sicurezza e rendere più difficoltoso il reverse engineering a causa della minore diffusione di analisti e/o strumenti automatici specifici.

NimzaLoader si caratterizza per:

  • utilizzo di stringhe crittografate all’interno del codice;
  • utilizzo di un timestamp (aggiornabile) come data di scadenza per l’esecuzione del malware;
  • comunicazioni con il server di C&C tramite protocollo HTTPS;
  • esecuzione di comandi “cmd” e “powershell” sul sistema;
  • injection di shellcode in un processo in esecuzione;
  • possibilità di utilizzare beacon Cobalt Strike come payload di secondo livello.

Azioni consigliate

Gli esperti di sicurezza del CSIRT-Italia comunicano agli utenti e alle organizzazioni che possono far fronte a questa tipologia di attacco verificando scrupolosamente le email ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing;
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
  • valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.

 

https://csirt.gov.it/contenuti/campagna-malspam-distribuisce-nimzaloader-al01-210312-csirt-ita

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE