25/12/23
В новой фишинговой кампании используются документы-приманки в формате Word для доставки вредоносного ПО, написанного на языке программирования Nim. Компания Netskope подчеркивает , что вредоносное ПО, написанное на нестандартных языках, создаёт трудности для ИБ-специалистов из-за недостатка опыта в обращении с ними.
В последние годы замечено возрастание интереса к Nim среди злоумышленников, которые либо создают новые инструменты с нуля на этом языке, либо переносят существующие версии своих вредоносных программ, пишет Securitylab. Примеры включают загрузчики, такие как NimzaLoader, Nimbda, IceXLoader, и семейства вымогательских программ Dark Power и Kanti.
Обнаруженная атака начинается с фишингового письма, содержащего вложение в виде документа Word, который несет в себе бэкдор под названием «conhost.exe». Вредоносная программа написана на Nim и, вероятно, была скомпилирована 20 сентября 2023 года. Документ при открытии предлагает включить макросы для активации вредоносного ПО. Отправитель письма маскируется под официального представителя правительства Непала.
После запуска вредоносное ПО сканирует активные процессы, чтобы выявить наличие инструментов анализа на заражённом хосте и немедленно завершает работу, если обнаруживает их. В противном случае, оно устанавливает связь с удалённым сервером, маскирующимся под домен правительства Непала, включая домен национального центра информационных технологий (National Information Technology Center, NITC), и ожидает дальнейших инструкций.
Примечательно, что бэкдор работает с теми же привилегиями, что и текущий пользователь, вошедший в систему. Если вредоносное ПО остается незамеченным, киберпреступники получают удаленный доступ к устройству.
Исследователи отметили, что Nim — это статически типизированный (статическая типизация) компилируемый язык программирования. Помимо знакомого синтаксиса, его функции кросс-компиляции позволяют злоумышленникам написать один вариант вредоносного ПО и для различных платформ.
