Τις τελευταίες εβδομάδες, η ομάδα ερευνητών malware της ESET στο εργαστήριο του Μόντρεαλ ασχολείται με την εξέταση του γνωστού Nymaim, ενός Trojan downloader με χαρακτηριστικά ransomware. Το malware εξαπλώνεται μέσω του Darkleech, ενός κακόβουλου λογισμικού που παραβιάζει τους web servers και οδηγεί τους χρήστες στο γνωστό Black Hole exploit kit. Το Darkleech έχει ήδη μολύνει πολλά δημοφιλή websites, προκαλώντας αναστάτωση στους χρήστες που περιηγούνται στους αγαπημένους τους ιστότοπους. Κατά την έρευνα, οι αναλυτές της ESET κατόρθωσαν να συλλέξουν πολλά διαφορετικά σχέδια lockscreen από όλο τον κόσμο – το Nymaim έχει σχέδια προσαρμοσμένα ειδικά για χώρες της Ευρώπης και της Βόρειας Αμερικής. Παράλληλα, η έρευνα της ESET για το Trojan downloader επιβεβαίωσε την ύπαρξη μολύνσεων και κατέδειξε ένα νέο φορέα εξάπλωσης, το Black Hat SEO, που μπερδεύει τις μηχανές αναζήτησης.
Προσθέτοντας επιπλέον στοιχεία στην πρόσφατη ανάλυση malware για την αυξημένη δράση του Filecoder, που αφορούσε στα ransomware Trojans που κρυπτογραφούν αρχεία χρηστών και προσπαθούν να αποσπάσουν λύτρα από τα θύματα σε αντάλλαγμα με ένα πρόγραμμα αποκρυπτογράφησης, η ESET διεξήγαγε εκτενή έρευνα για τα ransomware. Το Trojan downloader, που ονομάστηκε Win32/Nymaim, σχετίζεται με μία μακρόχρονη εκστρατεία εξάπλωσης του DarkLeech/Black Hole exploit kit (BHEK), γνωστή ως home campaign. Σύμφωνα με τις τελευταίες στατιστικές της ανεξάρτητης εταιρίας ερευνών για θέματα ασφάλειας Kafeine σχετικά με το BHEK, έχουν σημειωθεί 2,8 εκατομμύρια μολύνσεις από την αρχή της εκστρατείας.
«Σύμφωνα με τα δεδομένα τηλεμετρίας του ESET LiveGrid®, παρατηρείται από τον Ιούλιο του 2013 αυξημένη ανίχνευση των ransomware Trojans και το Nymaim εξακολουθεί να είναι ενεργό, καθώς επίσης το Win32/Nymaim παραβιάζει τους υπολογιστές σε δύο βήματα, χρησιμοποιώντας δύο διαφορετικά εκτελέσιμα αρχεία. Το πρώτο εκτελέσιμο αρχείο (που έχει ονομαστεί «Win32/Nymaim πρώτο στάδιο») απλά κατεβάζει και εκτελεί το δεύτερο αρχείο (που έχει ονομαστεί «Win32/Nymaim δεύτερο στάδιο»). Το δεύτερο στάδιο του Win32/Nymaim, που πρωτοεμφανίστηκε το Σεπτέμβριο του 2013, μπορεί να κατεβάσει και άλλα malware ή να κλειδώσει τον υπολογιστή» σημειώνει ο Jean-Ian Boutin, Malware Researcher της ESET.
Η ESET ανιχνεύει και τα δύο στάδια ως Win32/Nymaim, καθώς περιέχουν αρκετό κοινό κώδικα, συμπεριλαμβανομένων και των τεχνικών απόκρυψης που περιγράφονται στο πρώτο σχετικά με αυτό το θέμα blog post Nymaim – Obfuscation Chronicles, που αναρτήθηκε στο WeLiveSecurity.com τον Αύγουστο 2013. Η ESET μπορεί να προστατεύσει τους χρήστες από τη συγκεκριμένη απειλή με τη νέα 7η γενιά των κορυφαίων της λύσεων ESET NOD32® Antivirus και ESET Smart Security®. Ειδικότερα, οι χρήστες είναι πλέον πιο προστατευμένοι από τα ransomware Trojans, χάρη στο Advanced Memory Scanner. Η συγκεκριμένη λειτουργία δρα μετά την εκτέλεση, στοχεύοντας στην ανίχνευση malware που δεν έχει εντοπιστεί από άλλες τεχνολογίες. Επίσης, η συμβολή του έγκειται στην προστασία κυρίως από κακόβουλο λογισμικό που προσπαθεί ενεργά να διαφύγει του εντοπισμού με τη χρήση διαφόρων τεχνικών απόκρυψης.
«Όταν πρωτοανακαλύψαμε το Win32/Nymaim, γνωρίζαμε μόνο ένα φορέα μόλυνσης: τα drive-by downloads που χρησιμοποιούν BHEK. Τώρα γνωρίζουμε ότι υπάρχει τουλάχιστον ακόμη ένας τρόπος εξάπλωσης αυτής της απειλής στους ανυποψίαστους χρήστες του internet. Αναλύοντας μερικές από τις ιστοσελίδες που κινητοποιούν αυτά τα κακόβουλα download, φτάσαμε στο συμπέρασμα ότι το Black Hat SEO χρησιμοποιείται για να τα εμφανίζει όσο πιο ψηλά γίνεται στα αποτελέσματα αναζήτησης όταν οι χρήστες αναζητούν δημοφιλείς λέξεις-κλειδιά,» προσθέτει ο Boutin.
Η ομάδα της ESET κατόρθωσε να συλλέξει σχέδια lockscreen από τις ακόλουθες χώρες: Αυστρία, Καναδάς, Γαλλία, Γερμανία, Ιρλανδία, Μεξικό, Ολλανδία, Νορβηγία, Ρουμανία, Ισπανία, Ηνωμένο Βασίλειο και ΗΠΑ. Ωστόσο, η λίστα αυτή σίγουρα δεν είναι η τελική.
Για τις περισσότερες από τις χώρες που ερευνήθηκαν, το ύψος των λύτρων ανέρχεται περίπου στα 150 αμερικάνικα δολάρια. Η ψηλότερη τιμή λύτρων ζητήθηκε στους κατοίκους των ΗΠΑ (300 δολάρια), και ακολούθησαν οι Νορβηγία, Ηνωμένο Βασίλειο και Μεξικό, ενώ στη Ρουμανία ο μολυσμένος χρήστης καλούνταν να πληρώσει μόνο περίπου 100 Ευρώ. Ο κύριος φορέας μόλυνσης, BHEK, δεν λειτουργεί πλέον καθώς ο δημιουργός του έχει συλληφθεί. Επομένως, το μέλλον του Win32/Nymaim και της εξάπλωσής του αναμφισβήτητα παρουσιάζει ενδιαφέρον και, αναπόφευκτα, λόγω της πολυπλοκότητας του συγκεκριμένου malware, αναμένεται να δούμε παραλλαγές του σύντομα.
Οι ενδιαφερόμενοι μπορούν να επισκεφθούν το blog post Nymaim: Browsing for Trouble για να βρουν περισσότερες πληροφορίες σχετικά με την έρευνα του Win32/Nymaim και του νέου φορέα μόλυνσης, μία μελέτη των διαφορετικών σχεδίων lockscreen από όλο τον κόσμο, τις διαβαθμίσεις των λύτρων καθώς και μία πλήρη τεχνική ανάλυση του πρωτόκολλου επικοινωνίας. Περισσότερες πληροφορίες σχετικά με το πως μολύνεται ένα σύστημα και για τις αναρίθμητες τεχνικές απόκρυψης που χρησιμοποιούνται, διατίθενται στο blog post Nymaim – Obfuscation Chronicles στο WeLiveSecurity.com – τη νέα πλατφόρμα της ESET με τις πιο πρόσφατες πληροφορίες από τον τομέα της ασφάλειας, αναλύσεις γιακυβερνοαπειλές και χρήσιμες συμβουλές.
