Malware Nymaim ressurge na Europa, EUA e Brasil

Desde que a primeira vaga do malware Nymaim foi detetada em 2013, com as suas técnicas de ataque em cadeia e evasão, foram detetadas mais de 2,8 milhões de infeções em todo o mundo. A especialista ESET tem vindo a observar um ressurgimento do Nymaim nesta primeira metade de 2016.

A nova variante Win32/TrojanDownloader.Nymaim.BA está a afetar principalmente a Polónia (54% de deteções), Alemanha (16%) e EUA (12%), mas surge agora como uma campanha de spearfishing que utiliza um anexo malicioso para Word com macros perigosas. Este ataque foi desenhado para enganar as configurações de segurança padrão do Microsoft Word através de engenharia social, e a sua abordagem é muito convincente nas versões britânicas do MS Word.

“Com as suas avançadas técnicas de evasão, obscurecimento, anti-VM, anti-debugging e capacidade de controlo de fluxo, este downloader de duas fases, designado para entregar ransomware, está agora mais evoluído e a ser usado para entregar spyware“, afirmou Cassius de Oliveira Puodzius, especialista de segurança na ESET Latam.

Em abril, a esta versão juntou-se uma variante híbrida do Nymaim e Gozi, tendo como alvo instituições financeiras norte-americanas, mas depressa se espalhou pela América Latina, principalmente no Brasil. Esta variante forneceu aos atacantes o controlo remoto sobre computadores comprometidos ao invés da usual encriptação de ficheiros e o impedimento de acesso.

Devido às semelhanças entre os alvos descobertas em países com taxas de deteção altas e baixas, a ESET refere que o alvo central desta campanha está nas instituições financeiras.

“Estamos a trabalhar na documentação completa sobre esta ameaça. No entanto, se suspeita que o seu computador ou rede foi comprometida, recomendamos que verifique os IPs e os URLs que publicámos no artigo completo“, alerta Puodzius.

“De qualquer forma, podemos optar por uma estratégia de prevenção contra esta ameaça colocando na lista negra da firewall os IPs que estiveram em contacto com este malware, desde que a sua rede suporte este tipo de filtro,” concluiu o especialista.