Škodlivý kód se šíří spear phishingovou kampaní, která využívá škodlivé přílohy Microsoft Word a cílí na finanční sektor (TZ)
Praha 15. července 2016 – Analytický tým společnosti ESET zaznamenal během prvního pololetí letošního roku výrazný nárůst detekcí malware Nymaim. Jedná se o kampaň zaměřenou na finanční instituce. Nejvíce infiltrací je evidováno v Polsku (54 % případů) a Německu (16 %), nově jsou však zaznamenány útoky i v České republice. Tato nová varianta škodlivého kódu je detekována jako Win32 /TrojanDownloader.Nymaim.BA.
„Nyamim se šíří prostřednictvím spear phishingové kampaně, konkrétně jako dokument Microsoft Word v příloze e-mailových zpráv. Tento dokument obsahuje škodlivá makra, a protože v základním nastavení Microsoft Word automatické spuštění maker zakazuje, rozhodli se tvůrci Nyamaimu použít techniky sociálního inženýrství, které mají donutit uživatele škodlivé makro spustit,“ vysvětluje Miroslav Dvořák, technický ředitel společnosti ESET.
Dokument obsahuje při náhledu zkomolený text, která podsouvá uživateli myšlenku, že je potřeba provést nějakou akci. Navíc se zobrazí upozornění s požadavkem na „povolení spuštění obsahu v kompatibilním módu“, které imituje vzhled legitimního upozornění na spuštění maker. Pokud je makro spuštěno, dojde ke stažení dalšího škodlivého souboru do složky %temp%, který se následně spustí.
„V minulých letech končila nákaza ve většině případů požadavkem na výkupné, jednalo se tedy o ransomware. V dubnu tohoto roku se objevila hybridní varianta zahrnující malware Nymaim a Gozi, která cílila na finanční instituce. Místo peněz tak útočníci mohou kontrolovat či získat vzdálený přístup do infikovaného zařízení,“ uzavírá Dvořák.
Indikátory nákazy (IoC)
Hashe
| Hrozba | Hash (SHA-1) |
| VBA/TrojanDownloader.Agent.BCX 87 | b47aa1d421679bc1200dd3b61f48cc8991e421 |
| Win32/TrojanDownloader.Nymaim.BA | d983920eee2fc7306e500ee3df7791a612a6ba4b |
Sítě
Podezřelé IP a URL adresy:
- 31.184.234.158
- 35.51.69.111
- 70.212.173.116
- 101.186.50.249
- 142.126.57.60
- 154.58.222.139
- 162.244.32.165
- 165.203.213.15
- 206.114.64.228
- hxxp://gafbqvx.com/xyg9rwlq/index.php
- hxxp://olmart.com/system/cache/word.exe
- hxxp://securesrv15.com/article/509.ex
O společnosti ESET
Společnost ESET již od roku 1987 vyvíjí bezpečnostní software, který drží rekordní počet ocenění a díky němuž může víc než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy a nabízí firmám i spotřebitelům maximální proaktivní ochranu při minimálních nárocích. Jedno ze tří evropských výzkumných center ESET pro detekci malware je v Praze. Společnost ESET má celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 180 zemích světa.