Известный троянец Nymaim доставляет теперь шпионское ПО

Компанией ESET отмечается резкое возрастание числа атак троянца-загрузчика Nymaim, который с момента первого выявления в 2013-м уже заразил около 3-х миллионов устройств. В первом полугодии 2016 отмечено превышение на 63% показателей аналогичного периода 2015. Особенно часто, детектируемый антивирусными решениями ESET NOD32 как Win32/TrojanDownloader.Nymaim.BA, обновленный троянец обнаруживается в Польше (54% всех случаев), Германии (16%) и USA (12%).

Специалистами кибербезопасности отмечается не только возрастание активности загрузчика троянской программы, но и существенное изменение вектора заражения. Если прежняя версия троянца распространялась в сети через скомпрометированные веб-серверы с последующей доставкой на устройства пользователей вредоносного кода вымогательского ПО, то направление деятельности модифицированного троян-загрузчика сместилось в сторону «spearphishing». Выбор жертв осуществляется через распространяемые фишинговые письма с вложенным файлом Word .Doc, содержащим вредоносный макрос.

Поскольку установленные по умолчанию параметры безопасности Microsoft Word препятствуют запуску макроса, троянец использует несколько «фокусов», позволяющих обойти их:

- во вложенном файле имеется блок искаженного текста, что провоцирует пользователя на действия по его расшифровке;

- пользователю предлагается «запустить режим совместимости», а само уведомление очень похоже на предупреждение последней версии Microsoft Word об отключенных в изучаемом документе макросах, что часто встречается в случаях, когда пользователь английской версии Microsoft Word пытается открыть документ, созданный на другом языке;

- запускаемое самим же пользователем исполнение вредоносных макросов открывает доступ Nymaim, создающему новые исполняемые файлы в папке %Temp%.

К ранее применяемым и хорошо изученным компанией ESET методам уклонения и обфускации кода Nymaim добавились гибридные модификации. Один из наиболее известных инцидентов, произошедший в апреле 2016, свидетельствует о начале распространения тандема троянов - шпионского программного обеспечения Gozi совместно с троянцем-загрузчиком Win32/TrojanDownloader.Nymaim.BA. Ряд финансовых учреждений Северной Америки после подобного воздействия выявили кражу конфиденциальных данных своих клиентов. Хоть атака и не сопровождалась шифрованием файлов, блокировкой компьютера с вымогательством денежных средств.

Поразивший инфраструктуру банков троян был идентифицирован как Win32/TrojanDownloader.Nymaim.BA, известный еще с октября 2015. Вредоносный макрос во вложенном файле Word .Doc был инициирован на следующий день после распаковки файла. Достигнутый злоумышленниками эффект позволяет утверждать, что spearphishing будет и в дальнейшем использоваться против финансовых организаций и банков.

Специалисты ESET выявили ряд высоко таргетированных атак в Бразилии, целью которых также были финансовые институты. Хоть число зарегистрированных в этой стране инцидентов и небольшое, но это лишь результат особенностей отбора.

Анализ фишингового воздействия обновленного троянца позволил аналитикам сделать вывод, что осуществленные в Win32/TrojanDownloader.Nymaim.BA. изменения привели к созданию мощного зловредного ПО, который может быть выявлен лишь ограниченным числом антивирусных ядер.

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.