ClickCease Alerte aux logiciels malveillants basés sur Nim : les documents Word leurres déclenchent des menaces

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Alerte aux logiciels malveillants basés sur Nim : les documents Word leurres déclenchent des menaces

Wajahat Raja

Le 10 janvier 2024 - L'équipe d'experts de TuxCare

Dans le paysage en constante évolution des cybermenaces, une récente campagne d'hameçonnage a fait surface. Ce logiciel malveillant basé sur logiciel malveillant basé sur Nim utilise des documents Microsoft Word de leurre pour livrer une porte dérobée intégrée au langage de programmation Nim. Cette stratégie désavantage la communauté de la sécurité, car l'utilisation de langages de programmation peu courants complique le processus d'investigation pour les chercheurs et les ingénieurs inverses.


Les logiciels malveillants basés sur Nim se multiplient


Les chercheurs de Netskope Ghanashyam Satpathy et Jan Michael Alcantara ont fait la lumière sur la prévalence croissante de ce type de malware.
Logiciel malveillant de type "leurre" pour documents Word. Alors que Nim a toujours été une denrée rare dans le paysage des menaces, le vent est en train de tourner car les attaquants développent des outils personnalisés à partir de zéro ou portent des programmes malveillants existants dans ce langage.

 

Parmi les exemples récents, on peut citer l'émergence de chargeurs tels que NimzaLoader, Nimbda, IceXLoader et familles de ransomwares comme Dark Power et Kanti. Cette évolution reflète une tendance croissante des cyberadversaires à diversifier leurs techniques, ce qui rend la détection et l'analyse plus difficiles pour les professionnels de la cybersécurité.


Le langage Nim dans les cyberattaques


La campagne d'hameçonnage identifiée par Netskope commence par un document Word apparemment innocent joint à un courriel d'hameçonnage. En ouvrant le document, le destinataire est invité à activer les macros, ce qui déclenche le déploiement du logiciel malveillant basé sur Nim. L'expéditeur du courriel adopte notamment un déguisement, se faisant passer pour un fonctionnaire du gouvernement népalais afin de renforcer l'illusion de légitimité.

 

Une fois activé, le logiciel malveillant se charge d'énumérer les processus en cours sur l'hôte infecté. Son objectif premier est d'identifier la présence d'outils d'analyse connus et de s'arrêter rapidement si l'un d'entre eux est détecté. Ensuite, la porte dérobée porte dérobée établit des connexions avec un serveur distant imitant un domaine du gouvernement népalais, notamment le National Information Technology Center (NITC), en attendant d'autres instructions.

 

Les serveurs de commandement et de contrôle (C2) associés à cette campagne sont les suivants :

 

  • mail[.]mofa[.]govnp[.]org
  • nitc[.]govnp[.]org
  • mx1[.]nepal[.]govnp[.]org
  • dns[.]govnp[.]org


Méthodes de diffusion du logiciel malveillant Nim


Les chercheurs soulignent les
techniques utilisées par le logiciel malveillant Nimqu'ils décrivent comme un langage de programmation compilé à typage statique. Au-delà de sa syntaxe familière, les fonctions de compilation croisée de Nim permettent aux attaquants d'écrire une seule variante de logiciel malveillant, qui peut ensuite être compilée de manière croisée pour cibler différentes plates-formes. Cette flexibilité contribue à l'efficacité de ces attaques par documents malveillantsCette flexibilité contribue à l'efficacité de ces attaques de documents malveillants, permettant aux acteurs de la menace de maximiser leur portée.


Évolution du paysage des cybermenaces


Cette révélation s'inscrit dans le cadre d'un éventail plus large de cybermenaces, comme en témoigne une campagne d'ingénierie sociale divulguée par Cyble. Dans cette campagne, les plateformes de médias sociaux servent de véhicules pour diffuser un nouveau logiciel malveillant de vol basé sur Python, appelé Editbot Stealer. Ce logiciel malveillant est conçu pour récolter et exfiltrer des données précieuses par le biais d'un canal Telegram contrôlé par un acteur.

 

Alors que les acteurs de la menace expérimentent de nouvelles souches de logiciels malveillants, les campagnes d'hameçonnage traditionnelles persistent. En particulier, les logiciels malveillants connus tels que DarkGate et NetSupport RAT sont distribués par courrier électronique et sur des sites web compromis à l'aide de faux leurres de mise à jour, une tactique connue sous le nom de RogueRaticate. Proofpoint, une société de sécurité d'entreprise, a identifié au moins 20 campagnes utilisant le malware DarkGate entre septembre et novembre 2023 avant de passer à NetSupport RAT le mois suivant.


Tactiques avancées dans les campagnes d'hameçonnage


Proofpoint révèle l'adoption de tactiques avancées dans les campagnes de phishing, les acteurs de la menace exploitant DarkGate et NetSupport RAT. Lors d'une séquence remarquable en octobre 2023, les attaquants ont utilisé deux systèmes de diffusion de trafic (TDS), à savoir 404 TDS et Keitaro TDS, pour filtrer et rediriger les victimes vers un domaine exploité par l'acteur. Le domaine hébergeait une charge utile qui exploitait CVE-2023-36025 (score CVSS : 8.8). Ce contournement de sécurité Windows SmartScreen de haute sévérité a été corrigé par Microsoft en novembre 2023.

 

Fait remarquable, BattleRoyal, le groupe à l'origine de DarkGate, a fait de cette vulnérabilité un jour zéro un mois avant qu'elle ne soit divulguée publiquement par Microsoft. DarkGate se concentre sur le vol d'informations et le téléchargement de charges utiles malveillantes supplémentaires, tandis que NetSupport RAT, initialement un outil d'administration à distance, s'est transformé en une arme puissante pour les acteurs malveillants à la recherche d'un contrôle à distance sans entrave. Il est donc essentiel de mettre en œuvre des mesures de vigilance pour se protéger contre les logiciels malveillants basés sur des documents.


Diversification des cybermenaces


Le paysage des
menaces de cybersécurité 2024 continue d'évoluer, les acteurs de la menace adoptant des chaînes d'attaque nouvelles, variées et de plus en plus créatives. Proofpoint met l'accent sur l'utilisation de divers outils TDS en tandem avec les courriels et les fausses mises à jour, montrant ainsi la nature multiforme des techniques d'évasion avancées. techniques d'évasion avancées employées pour persuader les utilisateurs d'installer la charge utile finale.

 

L'utilisation de DarkGate s'étend au-delà de BattleRoyal, puisque d'autres acteurs de la menace, dont TA571 et TA577, l'utilisent. Ils s'en servent ensuite pour diffuser une série de logiciels malveillants tels que AsyncRAT, NetSupport RAT, IcedID, PikaBot et QakBot (alias Qbot). Rester informé des mises à jour des mises à jour du paysage des cybermenaces est essentiel pour maintenir des mesures de cybersécurité solides.


Conclusion


En conclusion, le paysage de la cybersécurité est le théâtre d'une interaction dynamique de tactiques.
logiciels malveillants basés sur Nim émergent comme un nouvel acteur dans le domaine des cybermenaces. Alors que les acteurs de la menace se diversifient et affinent leurs stratégies, les organisations doivent rester vigilantes et mettre en œuvre des pratiques exemplaires en matière de cybersécurité pour se prémunir contre l'évolution des risques.

Les sources de cet article comprennent des articles dans The Hacker News et CyberM.

Résumé
Alerte aux logiciels malveillants basés sur Nim : les documents Word leurres déclenchent des menaces
Nom de l'article
Alerte aux logiciels malveillants basés sur Nim : les documents Word leurres déclenchent des menaces
Description
Restez informé sur la menace croissante des logiciels malveillants basés sur Nim. Découvrez comment les cyberattaquants utilisent des documents Word leurres pour infiltrer les systèmes.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information