Компанія ESET — лідер у галузі проактивного виявлення — попереджає про зростаючу активність шкідливої програми Nymaim, яка здійснює інтенсивні цілеспрямовані фішингові атаки. Кількість зразків загрози з початку цього року зросла на 63% порівняно з відповідним періодом минулого. Найбільше жертв шкідливої програми зафіксовано в Польщі (54%), Німеччині (16%) та США (12%).
Вперше Nymaim було виявлено у 2013 році. За кілька років загроза інфікувала близько 2.8 мільйона користувачів, однак в кінці 2014 року активність загрози почала зменшуватися. В той час шкідлива програма потрапляла на комп’ютери жертв у результаті відвідування шкідливих сайтів.
Сьогодні ж оновлена версія загрози, яку продукти ESET розпізнають як Win32/TrojanDownloader.Nymaim.BA, поширюється за допомогою фішингових листів. До повідомлень зловмисники прикріплюють вкладення Microsoft Word, яке містить шкідливий макрос. Щоб обійти параметри безпеки Microsoft Word та змусити жертву активувати шкідливий код, загроза використовує методи соціальної інженерії.
«Для поширення шпигунської програми використовується двоступеневий завантажувач програм-вимагачів, який володіє можливостями керування потоком, а також передовими методами уникнення виявлення, заплутування, перешкоджання спробам аналізу та усуненню несправностей», — розповідає Дмитро Борщан, провідний технічний спеціаліст ESET в Україні.
У квітні 2016 року зловмисники створили гібридну версію загрози на базі Nymaim та Gozi. Її цілями стали фінансові установи в Північній Америці та Латинській Америці, зокрема Бразилії. Дане шкідливе програмне забезпечення надає зловмисникам віддалений контроль над інфікованими комп'ютерами замість звичайного шифрування файлів або блокування пристрою. Отримані дані про жертв в країнах з високим і низьким рівнем виявлення свідчать про те, що фінансові інститути сьогодні є основною ціллю цієї кампанії.
Спеціалісти ESET продовжують дослідження Nymaim. Наразі основною рекомендацією для захисту від інфікування даною загрозою є створення «чорних» списків IP-адрес шкідливого програмного забезпечення у брандмауері та URL-адрес на проксі-сервері, а також використання надійного антивірусного рішення для захисту робочих станцій.