El sigiloso malware BazarBackdoor de TrickBot se ha reescrito en el lenguaje de programación Nim, probablemente para evadir la detección por parte del software de seguridad.
La banda de delitos informáticos TrickBot distribuye cada vez más su malware BazarBackdoor, más nuevo y sigiloso, a través de campañas de spam. Una vez que una computadora se infecta, BazarBackdoor se utiliza para proporcionar a los actores de amenazas acceso remoto a la computadora para propagarse lateralmente a través de una red.
La semana pasada, tanto la firma de ciberseguridad Intezer como Vitali Kremez de Advanced Intel analizaron una nueva muestra de BazarBackdoor y descubrieron que la pandilla TrickBot la transfirió al lenguaje de programación Nim .
Según el sitio web del lenguaje de programación, Nim se inspira en Python, Ada y Modula y puede generar ejecutables compatibles con Windows, macOS y Linux.
«Nim es uno de los pocos lenguajes programables de tipado estático y combina la velocidad y la eficiencia de la memoria de C, una sintaxis expresiva, seguridad de la memoria y múltiples lenguajes de destino». afirma el sitio web de Nim .
Como es raro encontrar malware desarrollado con Nim, Kremez cree que la banda TrickBot transfirió BazarBackdoor a Nim para evitar la detección por parte del software antivirus.
«El componente de puerta trasera que es capaz de ejecutar comandos está escrito en el lenguaje de programación NIM para evadir la detección de antivirus. Es probable que el grupo delictivo opte por el desarrollo de malware ligero en Nim para frustrar el mecanismo de detección y antivirus centrado en binarios tradicionales compilados en Lenguajes de estilo C / C ++ «.
«No hace mucho tiempo, Golang se ha convertido en otro idioma preferido por algunas familias de malware, incluido el ransomware RobbinHood, principalmente debido al hecho de que muchos productos antivirus no procesan y caracterizan los binarios no convencionales como malware debido a la sección única y al contenido binario introducido por el Nim y lenguajes exóticos similares «, dijo el CEO de Advanced Intel, Vitali Kremez, a BleepingComputer en una conversación.
Otro malware desarrollado en Nim es una familia de ransomware llamada XCry [ VirusTotal ] descubierta por MalwareHunterTeam en 2019.
Más recientemente, el ransomware DeroHE codificado en Nim [ VirusTotal ] se utilizó en un ataque contra los usuarios del foro IObit .
Nim no es el único lenguaje poco común utilizado recientemente para crear malware. El mes pasado, Kremez encontró que el nuevo ransomware Vovalex fue escrito en el lenguaje de programación D .