jueves, 11 de febrero de 2021

El malware BazarBackdoor de TrickBot ahora está codificado en Nim para evadir el antivirus


El sigiloso malware BazarBackdoor de TrickBot se ha reescrito en el lenguaje de programación Nim, probablemente para evadir la detección por parte del software de seguridad.

La pandilla de delitos informáticos TrickBot ha estado distribuyendo cada vez más su malware BazarBackdoor, más nuevo y sigiloso, a través de campañas de spam. Una vez que una computadora se infecta, BazarBackdoor se utiliza para proporcionar a los actores de amenazas acceso remoto a la computadora para propagarse lateralmente a través de una red.

Correo electrónico de phishing de puerta trasera
Correo electrónico de phishing de puerta trasera

La semana pasada, tanto la firma de ciberseguridad  Intezer  como Vitali Kremez de Advanced Intel   analizaron una nueva muestra de BazarBackdoor y descubrieron que la pandilla TrickBot la transfirió al  lenguaje de programación Nim.

Según el sitio web del lenguaje de programación, Nim se inspira en Python, Ada y Modula y puede generar ejecutables compatibles con Windows, macOS y Linux. 

"Nim es uno de los pocos   lenguajes programables de tipado estático y combina la velocidad y la eficiencia de la memoria de C, una sintaxis expresiva, seguridad de la memoria y múltiples lenguajes de destino". afirma el sitio web de Nim .

Como es raro encontrar malware desarrollado con Nim, Kremez cree que la banda TrickBot transfirió BazarBackdoor a Nim para evitar la detección por parte del software antivirus.

"El componente de puerta trasera que es capaz de ejecutar comandos está escrito en el lenguaje de programación NIM para evadir la detección de antivirus. Es probable que el grupo delictivo opte por el desarrollo de malware ligero en Nim para frustrar el mecanismo de detección y antivirus centrado en binarios tradicionales compilados en Lenguajes de estilo C / C ++ ". 

"No hace mucho tiempo, Golang se ha convertido en otro idioma preferido por algunas familias de malware, incluido el ransomware RobbinHood, principalmente debido al hecho de que muchos productos antivirus no procesan y caracterizan los binarios no convencionales como malware debido a la sección única y al contenido binario introducido por el Nim y lenguajes exóticos similares ", dijo el CEO de Advanced Intel, Vitali Kremez, a BleepingComputer en una conversación.

Otro malware desarrollado en Nim es una familia de ransomware llamada XCry [ VirusTotal ] descubierta por  MalwareHunterTeam  en 2019.

Más recientemente, el ransomware DeroHE codificado en Nim [ VirusTotal ] se utilizó en un ataque contra los usuarios del foro IObit .

Nim no es el único lenguaje poco común utilizado recientemente para crear malware. El mes pasado, Kremez encontró que el nuevo ransomware Vovalex fue escrito en el lenguaje de programación D.


Fuente: https://www.bleepingcomputer.com/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

 

 

No hay comentarios:

Publicar un comentario

Más leídas este mes