Praha 15. července 2016 – Analytický tým společnosti ESET zaznamenal během prvního pololetí letošního roku výrazný nárůst detekcí malware Nymaim. Jedná se o kampaň zaměřenou na finanční instituce. Nejvíce infiltrací je evidováno v Polsku (54 % případů) a Německu (16 %), nově jsou však zaznamenány útoky i v České republice. Tato nová varianta škodlivého kódu je detekována jako Win32 /TrojanDownloader.Nymaim.BA.
„Nyamim se šíří prostřednictvím spear phishingové kampaně, konkrétně jako dokument Microsoft Word v příloze e-mailových zpráv. Tento dokument obsahuje škodlivá makra, a protože v základním nastavení Microsoft Word automatické spuštění maker zakazuje, rozhodli se tvůrci Nyamaimu použít techniky sociálního inženýrství, které mají donutit uživatele škodlivé makro spustit,“ vysvětluje Miroslav Dvořák, technický ředitel společnosti ESET.
Dokument obsahuje při náhledu zkomolený text, který podsouvá uživateli myšlenku, že je potřeba provést nějakou akci. Navíc se zobrazí upozornění s požadavkem na „povolení spuštění obsahu v kompatibilním módu“, které imituje vzhled legitimního upozornění na spuštění maker. Pokud je makro spuštěno, dojde ke stažení dalšího škodlivého souboru do složky %temp%, který se následně spustí.
„V minulých letech končila nákaza ve většině případů požadavkem na výkupné, jednalo se tedy o ransomware. V dubnu tohoto roku se objevila hybridní varianta zahrnující malware Nymaim a Gozi, která cílila na finanční instituce. Místo peněz tak útočníci mohou kontrolovat či získat vzdálený přístup do infikovaného zařízení,“ uzavírá Dvořák.
Indikátory nákazy (IoC)
Hashe
Hrozba Hash (SHA-1) VBA/TrojanDownloader.Agent.BCX 87 b47aa1d421679bc1200dd3b61f48cc8991e421 Win32/TrojanDownloader.Nymaim.BA d983920eee2fc7306e500ee3df7791a612a6ba4b
Sítě
Podezřelé IP a URL adresy:
- 31.184.234.158
- 35.51.69.111
- 70.212.173.116
- 101.186.50.249
- 142.126.57.60
- 154.58.222.139
- 162.244.32.165
- 165.203.213.15
- 206.114.64.228
- hxxp://gafbqvx.com/xyg9rwlq/index.php
- hxxp://olmart.com/system/cache/word.exe
- hxxp://securesrv15.com/article/509.ex
O společnosti ESET
Společnost ESET již od roku 1987 vyvíjí bezpečnostní software, který drží rekordní počet ocenění a díky němuž může víc než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy a nabízí firmám i spotřebitelům maximální proaktivní ochranu při minimálních nárocích. Jedno ze tří evropských výzkumných center ESET pro detekci malware je v Praze. Společnost ESET má celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 180 zemích světa.
Kontakt pro média:
Jan Potůček
Account Manager
+420 606 222 928
jan.potucek@taktiq.com
Ondřej Šafář
PR manažer ESET software
tel: +420 233 090 264
tel: +420 702 206 705
ondrej.safar@eset.cz