IND | ENG
Peneliti Temukan Nimzaloader, Malware yang Ditulis dalam Bahasa Coding Nim

Ilustrasi | Foto: Unsplash

Peneliti Temukan Nimzaloader, Malware yang Ditulis dalam Bahasa Coding Nim
Tenri Gobel Diposting : Minggu, 14 Maret 2021 - 12:21 WIB

Cyberthreat.id – Perusahaan keamanan siber AS, Proofpoint, menemukan perangkat lunak jahat (malware) baru yang ditulis dalam “Nim”, bahasa pemograman yang jarang digunakan untuk menyusun kode berbahaya.

Mereka menjulukinya “NimzaLoader” yang terdeteksi menyebar di dunia maya sejak 3 Februari 2021 oleh geng peretas TA800.

Geng tersebut menargetkan berbagai industri di Amerika Utara. Namun, jejak mereka juga telah terdeteksi ketika menggunakan malware “BazarLoader” pada April 2020.

NimzaLoader dirancang untuk memberi peretas akses ke komputer Windows. Selain itu, peretas juga mampu memakainya untuk menjalankan perintah yaitu mengendalikan malware untuk mengontrol mesin, mencuri informasi sensitif atau berpotensi menyebarkan malware tambahan.

NimzaLoader, menurut Proofpoint, dapat menghindari deteksi lantaran bahasa pemograman Nim yang digunakan pengembang. Bahasa coding ini jarang digunakan di ranah serangan siber dan menjadi sesuatu yang tak terduga oleh peneliti Proofpoint. Ini yang menurut mereka sulit menganalisis sampel malware-nya, demikian seperti dikutip dari ZDNet, diakses Minggu (14 Maret 2021).

Dalam menyebarkan NimzaLoader, peretas menggunakan email phishing untuk menginfeksi awal korban. Untuk meyakinkan calon korban mengklik tautan atau mengunduh PDF berbahaya, beberapa email phishing dibuat sedemikian rupa untuk menyesuaikan calon target, seperti halnya penyebutan detail pribadi (nama penerima dan atau nama perusahaan).

Email yang dikirimkan peretas TA800 ini, menurut Proofpoint, berisikan tautan yang akan mengarahkan korban ke pratinjau PDF. Ketika tautan diklik, pengguna diarahkan ke halaman berisikan PDF yang dihosting di Slack dengan ikon “Adobe” palsu untuk menipu korban.

PDF itulah yang kemudian dapat mengeksekusi atau mengunduh NimzaLoader ke komputer korban.

Isi email dan cara serangannya mirip dengan gaya geng TA800 dalam aksi phishing sebelumnya. Dari sinilah, Proofpoint  mengindikasikan bahwa NimzaLoader juga berasal dari peretas TA800, tapi telah menambahkan cara lain untuk menyerang.

"TA800 sering kali memanfaatkan malware yang berbeda dan unik,” ujar Sherrod DeGrippo, Direktur Senior Penelitian Dan Deteksi Ancaman Proofpoint

Karena melihat caranya yang sama, kemungkinan NimzaLoader juga sama dengan BazarLoader—yang ditawarkan di kalangan peretas sebagai malware untuk pijakan awal mendistribusikan malware lain. Hanya, tidak diketahui apakah NimzaLoader digunakan untuk menyebarkan ransomware seperti halnya BazarLoader yang disewa peretas lain untuk membawa ransomware Ryuk.[]

Redaktur: Andi Nugroho

#nimzaloader   #malware   #bazarloader   #ransomware   #ryuk   #proofpoint   #codingnim

Share:




BACA JUGA
Awas, Serangan Phishing Baru Kirimkan Keylogger yang Disamarkan sebagai Bank Payment Notice
Malware Manfaatkan Plugin WordPress Popup Builder untuk Menginfeksi 3.900+ Situs
CHAVECLOAK, Trojan Perbankan Terbaru
Phobos Ransomware Agresif Targetkan Infrastruktur Kritis AS
Paket PyPI Tidak Aktif Disusupi untuk Menyebarkan Malware Nova Sentinel