El malware BazarBackdoor de TrickBot ahora está codificado en Nim para evadir el antivirus

El malware invisible BazarBackdoor de TrickBot se ha reescrito al lenguaje de programación Nim, probablemente para evadir la detección por parte del software de seguridad.

La banda de ciberdelincuentes TrickBot distribuye cada vez más el malware BazarBackdoor más nuevo y sigiloso a través de campañas de spam. Una vez que una computadora está infectada, BazarBackdoor se utiliza para proporcionar a los actores de amenazas acceso remoto a la computadora para propagarse lateralmente a través de una red.

La semana pasada, ambas empresas de ciberseguridad Intezer e Intel avanzado Vitali Kremez analizó una nueva muestra de BazarBackdoor y descubrió que la pandilla TrickBot lo incluyó en el archivo Lenguaje de programación Nim.

Según el sitio web del lenguaje de programación, Nim está inspirado en Python, Ada y Modula y puede generar ejecutables compatibles con Windows, macOS y Linux.

"Nim es uno de los pocos programable idiomas escritos estáticamente y combina la velocidad y la eficiencia de la memoria de C, la sintaxis expresiva, la seguridad de la memoria y múltiples idiomas de destino ". Sitio web de Nim.

Como es raro encontrar malware desarrollado con Nim, Kremez cree que la banda TrickBot llevó BazarBackdoor a Nim para eludir la detección del software antivirus.

"El componente de puerta trasera que es capaz de ejecutar comandos está escrito en el lenguaje de programación NIM para evadir la detección del antivirus. El grupo delictivo probablemente eligió buscar el desarrollo de malware ligero en Nim para frustrar el mecanismo de detección y antivirus centrado en binarios en los lenguajes tradicionales compilado en lenguajes de estilo C / C ++ ".

"No hace mucho tiempo, Golang se convirtió en otro idioma de elección para algunas familias de malware, incluido el ransomware RobbinHood, principalmente debido al hecho de que muchos productos antivirus no procesan y caracterizan los binarios no convencionales como malware debido a la sección de contenido binario y único introducido el Nim y lenguajes exóticos similares ", dijo el CEO de Intel Advanced Vitali Kremez le dijo a BleepingComputer en una conversación.

Otro malware desarrollado en Nim es una familia de ransomware llamada XCry [VirusTotal] descubierto por MalwareHunterEquipo en 2019.

Más recientemente, el ransomware DeroHE codificado por Nim [VirusTotal] fue utilizado en un ataque contra usuarios del foro IObit.

Nim no es el único lenguaje poco común que se ha utilizado recientemente para crear malware. El mes pasado, Kremez descubrió que el nuevo ransomware Vovalex estaba escrito en el lenguaje de programación D.