Nymaim από Ευρώπη σε Βόρεια Αμερική, μέχρι & Βραζιλία

Από την ανίχνευση του πρώτου κρούσματος το 2013, έχουν καταγραφεί πάνω από 2,8 εκατομμύρια περιπτώσεις μολύνσεων μέσω τoυ μηχανισμού « chain» και τεχνικών αποφυγής του εντοπισμού. Κατά το πρώτο εξάμηνο του , η ESET παρατήρησε και πάλι μια σημαντική αύξηση στην ανίχνευση του Nymaim.Symantec virus Nymaim

Επηρεάζοντας κυρίως την Πολωνία (54% των ανιχνεύσεων), τη Γερμανία (16%) και τις Ηνωμένες Πολιτείες (12%), η ανανεωμένη παραλλαγή ανιχνεύθηκε ως Win32/TrojanDownloader.Nymaim.BA, κάνοντας την επανεμφάνιση της ως μια ολοκληρωμένη εκστρατεία spearfishing με ένα κακόβουλο συνημμένο (Word .doc) που περιέχει «παραπλανητικά» Marcos. Η προσέγγιση που χρησιμοποιείται  για την παράκαμψη των προεπιλεγμένων ρυθμίσεων ασφαλείας του Word μέσω μηχανισμών κοινωνικής μηχανικής, είναι αρκετά πειστική στις αγγλικές εκδόσεις του MS Word.

«Με προηγμένες τεχνικές αποφυγής του εντοπισμού, και δυνατότητες anti-VM, anti-debugging και control , αυτό το που λειτουργεί σε δύο στάδια μεταφέροντας ransomware ως τελικό ωφέλιμο φορτίο, έχει πλέον εξελιχθεί και χρησιμοποιείται για να μεταφέρει spyware», λέει ο Cassius de Oliveira Puodzius, Security Researcher της ESET Latinoamerica.

Τον Απρίλιο, η συγκεκριμένη έκδοση ενώθηκε με υβριδική παραλλαγή του Nymaim και του Gozi, στοχεύοντας χρηματοπιστωτικά ιδρύματα στη Βόρεια Αμερική, ενώ εξαπλώθηκε και στη Λατινική Αμερική, κυρίως στη Βραζιλία. Αυτή η παραλλαγή έχει δώσει στους κυβερνοεγκληματίες τη δυνατότητα απομακρυσμένης πρόσβασης στους παραβιασμένους υπολογιστές, αντί να έχει τα συνήθη αποτελέσματα κρυπτογράφησης αρχείων ή κλειδώματος.

  Startup απορροφάει CO2 από την ατμόσφαιρα και το μετατρέπει σε σκυρόδεμα

Λόγω των ομοιοτήτων μεταξύ των στόχων που βρίσκονται σε χώρες με υψηλά και χαμηλά ποσοστά ανίχνευσης, μπορούμε να είμαστε σχετικά σίγουροι ότι τα χρηματοπιστωτικά ιδρύματα παραμένουν στο επίκεντρο αυτής της εκστρατείας.

«Η πλήρης καταγραφή αυτής της απειλής είναι ακόμα σε εξέλιξη. Ωστόσο, εάν υποψιάζεστε ότι ο υπολογιστής ή το δίκτυό σας έχει παραβιαστεί, σας συνιστούμε να ελέγξετε κατά πόσο οι διευθύνσεις IP και URL, που βρίσκονται στο πλήρες άρθρο, δεν βρίσκονται στο firewall και στα στοιχεία σύνδεσης με το διακομιστή μεσολάβησης. Σε κάθε περίπτωση, μπορεί να εφαρμοστεί μια στρατηγική πρόληψης από την απειλή βάζοντας σε blacklist τις IP που έχουν έρθει σε επαφή με αυτό το malware στο firewall και τις διευθύνσεις URL στο proxy, εφόσον το δίκτυό σας υποστηρίζει αυτό το είδος φιλτραρίσματος», καταλήγει ο Puodzius.

Όλη η ανάλυση είναι διαθέσιμη στο ενημερωτικό blog της ESET, Welivesecurity.com.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).