ESET - Malware Nymaim se vrátil do Evropy, zasáhnul i Česko

19. 7. 2016 16:48    Rubrika: Tiskové zprávy

Analytický tým společnosti ESET zaznamenal během prvního pololetí letošního roku výrazný nárůst detekcí malware Nymaim. Jedná se o kampaň zaměřenou na finanční instituce. Nejvíce infiltrací je evidováno v Polsku (54 % případů) a Německu (16 %), nově jsou však zaznamenány útoky i v České republice. Tato nová varianta škodlivého kódu je detekována jako Win32 /TrojanDownloader.Nymaim.BA.

ESET - Malware Nymaim se vrátil do Evropy, zasáhnul i Česko

„Nyamim se šíří prostřednictvím spear phishingové kampaně, konkrétně jako dokument Microsoft Word v příloze e-mailových zpráv. Tento dokument obsahuje škodlivá makra, a protože v základním nastavení Microsoft Word automatické spuštění maker zakazuje, rozhodli se tvůrci Nyamaimu použít techniky sociálního inženýrství, které mají donutit uživatele škodlivé makro spustit,“ vysvětluje Miroslav Dvořák, technický ředitel společnosti ESET.

Dokument obsahuje při náhledu zkomolený text, která podsouvá uživateli myšlenku, že je potřeba provést nějakou akci. Navíc se zobrazí upozornění s požadavkem na „povolení spuštění obsahu v kompatibilním módu“, které imituje vzhled legitimního upozornění na spuštění maker. Pokud je makro spuštěno, dojde ke stažení dalšího škodlivého souboru do složky %temp%, který se následně spustí.

„V minulých letech končila nákaza ve většině případů požadavkem na výkupné, jednalo se tedy o ransomware. V dubnu tohoto roku se objevila hybridní varianta zahrnující malware Nymaim a Gozi, která cílila na finanční instituce. Místo peněz tak útočníci mohou kontrolovat či získat vzdálený přístup do infikovaného zařízení,“ uzavírá Dvořák.

Indikátory nákazy (IoC)

HrozbaHash (SHA-1)
VBA/TrojanDownloader.Agent.BCX 87b47aa1d421679bc1200dd3b61f48cc8991e421
Win32/TrojanDownloader.Nymaim.BAd983920eee2fc7306e500ee3df7791a612a6ba4b

Podezřelé IP a URL adresy:

  • 31.184.234.158
  • 35.51.69.111
  • 70.212.173.116
  • 101.186.50.249
  • 142.126.57.60
  • 154.58.222.139
  • 162.244.32.165
  • 165.203.213.15
  • 206.114.64.228
  • hxxp://gafbqvx.com/xyg9rwlq/index.php
  • hxxp://olmart.com/system/cache/word.exe
  • hxxp://securesrv15.com/article/509.ex
Tiskové zprávy

Diskuse