Schadsoftware aus 2013 verbreitet sich wieder vermehrt über betrügerische Dateianhänge
Jena, 13. Juli 2016 – Der europäische Security-Software-Hersteller ESET beobachtet derzeit einen Anstieg der Nymaim Malware, die bereits 2013 ihr Unwesen trieb. Damals wurden über 2,8 Millionen Infektionen registriert. Im ersten Halbjahr 2016 konnten die ESET Forscher einen deutlichen Anstieg um 63 Prozent im Vergleich zum ersten Halbjahr 2015 verzeichnen. Besonders stark verbreitete sich die als Win32/TrojanDownloader.Nymaim.BA bekannte Malware in Polen (54 Prozent), Deutschland (16 Prozent) und den USA (12 Prozent).
Sollte sich die Verbreitung weiter im aktuellen Tempo fortsetzen, werden bereits im kommenden Monat mehr Nutzer infiziert sein als im gesamten Jahr 2015. Anders als 2013, als Nymaim noch als Drive-by-Download über verseuchte Webseiten gestreut hat, verbreitet sich die Malware nun über Phishing-Emails. Der betrügerische Anhang tarnt sich als Word-Dokument. Sobald dieses geöffnet wird, entpackt sich das infizierte Skript.
Spionage statt Payload
„Mit seiner hochentwickelten Verschleierungstechnik, Anti-VM, Anti-Debugging und Kontrollflussanalyse hat sich dieser zweistufige Trojaner weiterentwickelt. Wurde er ursprünglich dazu verwendet, Ransomware und damit verbunden seine Payload zu übertragen, wird er nun für die Verbreitung von Spionagesoftware genutzt“, so Cassius de Oliveira Puodzius, Security Researcher bei ESET Lateinamerika.Aufgrund der Ähnlichkeiten zwischen den Fällen in Ländern mit hoher und niedriger Erkennungsrate scheinen die aktuellen Angriffe insbesondere auf Finanzinstitute abzuzielen. Wie die ESET Forscher weiter feststellten, steht Brasilien ganz oben auf der Opferliste von Nymaim.
Hybridvariante nimmt Finanzinstitute in Nordamerika ins Visier
Im April 2016 wurde zudem eine Hybridvariante von Nymain und dem E-Banking Trojaner Gozi entdeckt, welche es gezielt auf Finanzinstitute in Nord- und Lateinamerika abgesehen hat. Die Angreifer erhalten dabei Zugriff über den infizierten Computer, verzichten dabei aber auf die Verschlüsselung von Dateien oder einer Zahlung von Lösegeld.
„Die vollständige Analyse dieser Bedrohung steht noch aus. Wer aber befürchtet, dass sein Computer oder Netzwerk infiziert wurde, sollte überprüfen, ob sich bestimmte IPs und URLs in Firewall und Proxy Logs befinden. Eine Liste findet sich in unserem ESET Blog. Wer auf Nummer sicher gehen will, kann die gelisteten IPs und URLs auch präventiv auf die Blacklist setzen – vorausgesetzt, das Netzwerk unterstützt einen derartigen Filter“, so Puodzius.
Mehr Informationen zu Nymaim finden sich im deutsche ESET Blog WeLiveSecurity unter http://www.welivesecurity.com/deutsch/2016/07/13/nymaim-schlagt-wieder-zu-und-erreicht-brasilien/.