ESET: Nymaim Malware kehrt nach Europa zurück

Nächste PM

Schadsoftware aus 2013 verbreitet sich wieder vermehrt über betrügerische Dateianhänge

Jena, 13. Juli 2016 – Der europäische Security-Software-Hersteller ESET beobachtet derzeit einen Anstieg der Nymaim Malware, die bereits 2013 ihr Unwesen trieb. Damals wurden über 2,8 Millionen Infektionen registriert. Im ersten Halbjahr 2016 konnten die ESET Forscher einen deutlichen Anstieg um 63 Prozent im Vergleich zum ersten Halbjahr 2015 verzeichnen. Besonders stark verbreitete sich die als Win32/TrojanDownloader.Nymaim.BA bekannte Malware in Polen (54 Prozent), Deutschland (16 Prozent) und den USA (12 Prozent).

Sollte sich die Verbreitung weiter im aktuellen Tempo fortsetzen, werden bereits im kommenden Monat mehr Nutzer infiziert sein als im gesamten Jahr 2015. Anders als 2013, als Nymaim noch als Drive-by-Download über verseuchte Webseiten gestreut hat, verbreitet sich die Malware nun über Phishing-Emails. Der betrügerische Anhang tarnt sich als Word-Dokument. Sobald dieses geöffnet wird, entpackt sich das infizierte Skript.

Spionage statt Payload

„Mit seiner hochentwickelten Verschleierungstechnik, Anti-VM, Anti-Debugging und Kontrollflussanalyse hat sich dieser zweistufige Trojaner weiterentwickelt. Wurde er ursprünglich dazu verwendet, Ransomware und damit verbunden seine Payload zu übertragen, wird er nun für die Verbreitung von Spionagesoftware genutzt“, so Cassius de Oliveira Puodzius, Security Researcher bei ESET Lateinamerika.Aufgrund der Ähnlichkeiten zwischen den Fällen in Ländern mit hoher und niedriger Erkennungsrate scheinen die aktuellen Angriffe insbesondere auf Finanzinstitute abzuzielen. Wie die ESET Forscher weiter feststellten, steht Brasilien ganz oben auf der Opferliste von Nymaim.

Hybridvariante nimmt Finanzinstitute in Nordamerika ins Visier

Im April 2016 wurde zudem eine Hybridvariante von Nymain und dem E-Banking Trojaner Gozi entdeckt, welche es gezielt auf Finanzinstitute in Nord- und Lateinamerika abgesehen hat. Die Angreifer erhalten dabei Zugriff über den infizierten Computer, verzichten dabei aber auf die Verschlüsselung von Dateien oder einer Zahlung von Lösegeld.

„Die vollständige Analyse dieser Bedrohung steht noch aus. Wer aber befürchtet, dass sein Computer oder Netzwerk infiziert wurde, sollte überprüfen, ob sich bestimmte IPs und URLs in Firewall und Proxy Logs befinden. Eine Liste findet sich in unserem ESET Blog. Wer auf Nummer sicher gehen will, kann die gelisteten IPs und URLs auch präventiv auf die Blacklist setzen – vorausgesetzt, das Netzwerk unterstützt einen derartigen Filter“, so Puodzius.

Mehr Informationen zu Nymaim finden sich im deutsche ESET Blog WeLiveSecurity unter http://www.welivesecurity.com/deutsch/2016/07/13/nymaim-schlagt-wieder-zu-und-erreicht-brasilien/.

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.