ESET - Malware Nymaim se vrátil do Evropy, zasáhnul i Česko
19. 7. 2016 16:48 Rubrika: Tiskové zprávy
Analytický tým společnosti ESET zaznamenal během prvního pololetí letošního roku výrazný nárůst detekcí malware Nymaim. Jedná se o kampaň zaměřenou na finanční instituce. Nejvíce infiltrací je evidováno v Polsku (54 % případů) a Německu (16 %), nově jsou však zaznamenány útoky i v České republice. Tato nová varianta škodlivého kódu je detekována jako Win32 /TrojanDownloader.Nymaim.BA.
„Nyamim se šíří prostřednictvím spear phishingové kampaně, konkrétně jako dokument Microsoft Word v příloze e-mailových zpráv. Tento dokument obsahuje škodlivá makra, a protože v základním nastavení Microsoft Word automatické spuštění maker zakazuje, rozhodli se tvůrci Nyamaimu použít techniky sociálního inženýrství, které mají donutit uživatele škodlivé makro spustit,“ vysvětluje Miroslav Dvořák, technický ředitel společnosti ESET.
Dokument obsahuje při náhledu zkomolený text, která podsouvá uživateli myšlenku, že je potřeba provést nějakou akci. Navíc se zobrazí upozornění s požadavkem na „povolení spuštění obsahu v kompatibilním módu“, které imituje vzhled legitimního upozornění na spuštění maker. Pokud je makro spuštěno, dojde ke stažení dalšího škodlivého souboru do složky %temp%, který se následně spustí.
„V minulých letech končila nákaza ve většině případů požadavkem na výkupné, jednalo se tedy o ransomware. V dubnu tohoto roku se objevila hybridní varianta zahrnující malware Nymaim a Gozi, která cílila na finanční instituce. Místo peněz tak útočníci mohou kontrolovat či získat vzdálený přístup do infikovaného zařízení,“ uzavírá Dvořák.
Indikátory nákazy (IoC)
Hrozba | Hash (SHA-1) |
VBA/TrojanDownloader.Agent.BCX 87 | b47aa1d421679bc1200dd3b61f48cc8991e421 |
Win32/TrojanDownloader.Nymaim.BA | d983920eee2fc7306e500ee3df7791a612a6ba4b |
Podezřelé IP a URL adresy:
- 31.184.234.158
- 35.51.69.111
- 70.212.173.116
- 101.186.50.249
- 142.126.57.60
- 154.58.222.139
- 162.244.32.165
- 165.203.213.15
- 206.114.64.228
- hxxp://gafbqvx.com/xyg9rwlq/index.php
- hxxp://olmart.com/system/cache/word.exe
- hxxp://securesrv15.com/article/509.ex