Rilevato dagli esperti di ESET principalmente in Polonia (54% dei casi), Germania (16%) e Stati Uniti (12%), la nuova variante del malware Nymaim viene identificata come Win32/TrojanDownloader.Nymaim.BA e si sta diffondendo attraverso una campagna di spearfishing che utilizza allegati pericolosi (Word.Doc) contenenti macro ingannevoli.
Il ceppo originale di Nymaim è stato rilevato la prima volta nel 2013 e, grazie alle sue tecniche di diffusione e di elusione, è riuscito a infettare oltre 2,8 milioni di utenti. Nella prima metà del 2016, ESET ha notato un netto incremento di rilevazioni del Nymaim.
Con le sue avanzate tecniche di elusione, offuscamento, anti-VM, anti-debugging e capacità di controllo di flusso,
questo downloader a due fasi, inizialmente pensato per distribuire ransomware, ha evoluto il suo processo di infezione e viene essenzialmente sfruttato per diffondere spyware.
In Aprile, alla versione appena citata è stata aggiunta una variante ibrida di Nymaim e di Gozi, con l’intento di colpire gli istituti finanziari del Nord America e di diffondersi anche in Brasile. Questa variante permette ai criminali, invece della classica possibilità di crittografare e bloccare i file, di controllare da remoto i computer infettati.
A causa delle similitudini tra gli obiettivi ci sono paesi con elevate percentuali di rilevazione e altri con livelli decisamente più bassi, ma gli esperti di ESET sono abbastanza certi che gli istituti finanziari rimarranno l’obiettivo primario di questa campagna.
Una strategia di prevenzione contro questa minaccia consiste nell’inserire nella blacklist del firewall gli IP contattati da questo malware e in quella del proxy gli indirizzi URL, a condizione che la rete supporti questo tipo di filtraggio.
Lascia un commento