Alerta sobre malware basado en Nim: documentos de Word señuelo desatan amenazas
En el panorama en constante evolución de las ciberamenazas, ha surgido recientemente una campaña de phishing. Este malware basado en Nim utiliza documentos señuelo de Microsoft Word para entregar una puerta trasera incrustada con el lenguaje de programación Nim. Este movimiento estratégico pone a la comunidad de seguridad en desventaja, ya que el uso de lenguajes de programación poco comunes complica el proceso de investigación para investigadores e ingenieros inversos.
Aumenta el malware basado en Nim
Los investigadores de Netskope Ghanashyam Satpathy y Jan Michael Alcantara arrojan luz sobre la creciente prevalencia de este malware de documento Word señuelo. Mientras que Nim ha sido históricamente una rareza en el panorama de las amenazas, la marea está cambiando a medida que los atacantes desarrollan herramientas personalizadas desde cero o portan programas maliciosos existentes a este lenguaje.
Entre los casos más recientes cabe citar la aparición de cargadores como NimzaLoader, Nimbda, IceXLoader y familias de ransomware como Dark Power y Kanti. Este cambio refleja la creciente tendencia de los ciberdelincuentes a diversificar sus técnicas, lo que dificulta la detección y el análisis por parte de los profesionales de la ciberseguridad.
El lenguaje Nim en los ciberataques
La campaña de phishing identificada por Netskope comienza con un documento de Word aparentemente inocente adjunto a un correo electrónico de phishing. Al abrir el documento, se pide al destinatario que habilite las macros, lo que desencadena el despliegue del malware basado en Nim. En particular, el remitente del correo electrónico adopta un disfraz, haciéndose pasar por un funcionario del gobierno nepalí para aumentar la ilusión de legitimidad.
Una vez activado, el malware se encarga de enumerar los procesos en ejecución en el host infectado. Su principal objetivo es identificar la presencia de herramientas de análisis conocidas y, si detecta alguna, se autodestruye de inmediato. Posteriormente, el backdoor establece conexiones con un servidor remoto que imita un dominio del gobierno nepalí, incluido el Centro Nacional de Tecnología de la Información (NITC), a la espera de nuevas instrucciones.
Los servidores de mando y control (C2) asociados a esta campaña son los siguientes:
- correo[.]mofa[.]govnp[.]org
- nitc[.]govnp[.]org
- mx1[.]nepal[.]govnp[.]org
- dns[.]govnp[.]org
Métodos de distribución del malware Nim
Los investigadores destacan las técnicas utilizadas por el malware Nimdescribiéndolo como un lenguaje de programación compilado de tipado estático. Más allá de su sintaxis familiar, las características de compilación cruzada de Nim permiten a los atacantes escribir una única variante de malware, que luego puede compilarse de forma cruzada para dirigirse a diferentes plataformas. Esta flexibilidad contribuye a la eficacia de estos ataques con documentos maliciososy permite a las amenazas maximizar su alcance.
Evolución del panorama de las ciberamenazas
Esta revelación se produce en medio de un espectro más amplio de ciberamenazas, como demuestra una campaña de ingeniería social revelada por Cyble. En esta campaña, las plataformas de redes sociales sirven como vehículos para distribuir un nuevo malware de robo basado en Python llamado Editbot Stealer. Este malware está diseñado para recopilar y extraer datos valiosos a través de un canal de Telegram controlado por un actor.
Mientras las amenazas experimentan con nuevas cepas de malware, persisten las campañas de phishing tradicionales. En particular, malware conocido como DarkGate y NetSupport RAT se distribuye a través del correo electrónico y sitios web comprometidos utilizando señuelos de actualización falsos, una táctica conocida como RogueRaticate. Proofpoint, una empresa de seguridad empresarial, identificó al menos 20 campañas utilizando el malware DarkGate entre septiembre y noviembre de 2023 antes de pasar a NetSupport RAT en el mes siguiente.
Tácticas avanzadas en las campañas de phishing
Proofpoint revela la adopción de tácticas avanzadas en las campañas de phishing, con actores de amenazas que aprovechan DarkGate y NetSupport RAT. En una secuencia destacable de octubre de 2023, los agresores emplearon dos sistemas de distribución de tráfico (TDS), el 404 TDS y el Keitaro TDS, para filtrar y redirigir a las víctimas a un dominio operado por el agresor. El dominio alojaba una carga útil que explotaba CVE-2023-36025 (puntuación CVSS: 8,8). Microsoft solucionó este problema de seguridad de alta gravedad de Windows SmartScreen en noviembre de 2023.
Sorprendentemente, BattleRoyal, el grupo que está detrás de DarkGate, convirtió esta vulnerabilidad en un día cero un mes antes de que Microsoft la hiciera pública. DarkGate se centra en el robo de información y la descarga de cargas útiles de malware adicionales, mientras que NetSupport RAT, inicialmente una herramienta de administración remota, se ha convertido en una potente arma para los actores malintencionados que buscan el control remoto sin restricciones. Por lo tanto, la aplicación de medidas de vigilancia es esencial para protegerse contra el malware basado en documentos.
Diversificación de las ciberamenazas
El panorama de las amenazas a la ciberseguridad 2024 sigue evolucionando, con actores de amenazas que adoptan cadenas de ataque nuevas, variadas y cada vez más creativas. Proofpoint hace hincapié en el uso de diversas herramientas de TDS en tándem con señuelos de correo electrónico y actualizaciones falsas, mostrando la naturaleza multifacética de las técnicas avanzadas de evasión empleadas para persuadir a los usuarios de que instalen la carga útil final.
La utilización de DarkGate se extiende más allá de BattleRoyal, como otros actores de amenazas, incluyendo TA571 y TA577. Esto se aprovecha para difundir una serie de programas maliciosos como AsyncRAT, NetSupport RAT, IcedID, PikaBot y QakBot (también conocido como Qbot). Mantenerse informado sobre actualizaciones del panorama de las ciberamenazas es crucial para mantener unas medidas de ciberseguridad sólidas.
Conclusión
En conclusión, el panorama de la ciberseguridad está siendo testigo de una dinámica interacción de tácticas, con malware basado en Nim como nuevo actor en el ámbito de las ciberamenazas. A medida que los actores de las amenazas diversifican y perfeccionan sus estrategias, las organizaciones deben permanecer vigilantes y aplicar buenas prácticas de ciberseguridad para protegerse de los riesgos cambiantes.
Las fuentes de este artículo incluyen artículos en The Hacker News y CyberM.