Die Sicherheitsforscher von Proofpoint, Inc., einem Next-Generation Cybersecurity- und Compliance-Unternehmen, haben eine neuartige Malware näher analysiert, die die Cyberkriminellen von TA800 (Threat Actor) kürzlich im Rahmen einer E-Mail-Kampagne verbreiteten.
Die neue Initial Access Malware, der die Cybersecurity-Experten den Namen NimzaLoader gaben, weist eine Reihe von Besonderheiten auf.
Die Hackergruppe TA800 hatte sich seit April 2020 überwiegend darauf spezialisiert, die Schadsoftware BazaLoader in ihren Cyberkampagnen zu verbreiten. Im vergangenen Februar jedoch, konnten die Security-Spezialisten von Proofpoint eine E-Mail-Kampagne beobachten, bei der TA800 eine neue Schadsoftware zum Einsatz brachte. Die NimzaLoader getaufte Malware wurde von seinen Entwicklern in der Programmiersprache Nim geschrieben. Malware auf Basis dieser Programmiersprache wird nur äußerst selten von Cyberkriminellen genutzt. Die Entscheidung, Nim als Programmiersprache zu verwenden, lässt darauf schließen, dass damit eine Erkennung der Malware vermieden bzw. zumindest erschwert werden sollte.
Erste Beobachtungen anderer Security-Fachleute deuteten zunächst darauf hin, dass es sich bei NimzaLoader möglicherweise nur um eine weitere Variante von BazaLoader handelt, von dem bereits viele Varianten existieren. Die nun erfolgte Analyse von Proofpoint konnte jedoch bestätigen, dass dies nicht zutrifft und NimzaLoader nach Ansicht der Sicherheitsforscher eine neue Malware darstellt.
www.proofpoint.com/de