Компания ESET — лидер в области проактивного обнаружения — предупреждает о повышенной активности вредоносной программы Nymaim, которая осуществляет интенсивные целенаправленные фишинговые атаки. Количество образцов угрозы с начала этого года выросло на 63% по сравнению с соответствующим периодом прошлого года. Больше всего жертв вредоносной программы зафиксировано в Польше (54%), Германии (16%) и США (12%).
Впервые Nymaim было обнаружено в 2013 году. За несколько лет угроза инфицировала около 2.8 миллиона пользователей, однако в конце 2014 года активность угрозы начала уменьшаться. В то время вредоносная программа попадала на компьютеры жертв в результате посещения вредоносных сайтов.
Сегодня же обновленная версия угрозы, которую продукты ESET распознают как Win32/TrojanDownloader.Nymaim.BA, распространяется с помощью фишинговых писем. К сообщениям злоумышленники прикрепляют вложения Microsoft Word, которые содержат вредоносный макрос. Чтобы обойти настройки безопасности Microsoft Word и вынудить жертву активировать вредоносный код, угроза использует методы социальной инженерии.
«Для распространения шпионской программы используется двухэтапный загрузчик программ-вымогателей, который обладает возможностями управления потоком, а также передовыми методами избежания обнаружения, запутывания, препятствование попыткам анализа и устранения неисправностей», — рассказывает Дмитрий Борщан, ведущий технический специалист ESET в Украине.
В апреле 2016 злоумышленники создали гибридную версию угрозы на базе Nymaim и Gozi. Ее целями стали финансовые учреждения в Северной Америке и Латинской Америке, в частности Бразилии. Данное вредоносное программное обеспечение предоставляет злоумышленникам удаленный контроль над инфицированными компьютерами вместо обычного шифрования файлов или блокировки устройства. Полученные данные о жертвах в странах с высоким и низким уровнем обнаружения свидетельствуют о том, что финансовые институты сегодня является основной целью этой кампании.
Специалисты ESET продолжают исследование Nymaim. Основной рекомендацией для защиты от заражения данной угрозой является создание «черных» списков IP-адресов вредоносных программ в брандмауэре и URL-адресов на прокси-сервере, а также использование надежного антивирусного решения для защиты рабочих станций.