حملات بدافزار Nmaim در سطح جهان رو به افزایش است!

Nymaim خانواده بدافزاری است که در سال ۲۰۱۳ رایج بود و در چشم‌اندازهای تهدید جدید دوباره به‌صورت قدرتمندی ظاهر شده است. به گفته‌ی محققان شرکت ESET میزان حملات انجام شده توسط این بدافزار، افزایش ۶۳ درصدی را در مقایسه با سال قبل تجربه کرده است.

به‌طور کلی، تعداد مواردی که در نیمه اول سال ۲۰۱۶ کشف شده‌اند به‌اندازه‌ی تمام سال ۲۰۱۵ بوده‌اند و به‌روشنی نشان‌دهنده‌ی این هستند که این تهدید بازگشته است. به گفته‌ی شرکت ESET، امسال لهستان بیش از همه به‌وسیله‌ی Nymaim مورد حمله بوده است (۵۴ درصد موارد تشخیص) و در پی آن آلمان (۱۶ درصد)‌ و ایالات متحده آمریکا (۱۲ درصد) قرار داشتند.

برخلاف نسخه‌های قبلی که بر بارگیری‌های مستقیم برای آلودگی مبتنی بوده‌اند، نوع جدید Nymaim بر حملات رایانامه‌ی فیشینگ مبتنی است. این رایانامه‌ها یک پرونده‌ی مایکروسافت ورد .DOC را به‌عنوان ضمیمه خود در بردارند که شامل یک ماکروی آلوده است و برای فریب کاربران و فعال کردن آن از مهندسی اجتماعی استفاده می‌کند.

محققان می‌گویند که این سند متونی به‌هم‌ریخته را نشان می‌دهد و کاربران را ترغیب می‌کند تا «برای نشان دادن محتوای سند، آن را در حالت سازگاری فعال کنند». این پیام بسیار شبیه به پیام‌های نوار هشدار در نسخه‌های اخیر مایکروسافت ورد است که معمولاً به کاربران اطلاع می‌دهد که ماکروها در اسناد باز غیرفعال شده‌اند.

ماکروی‌ مخرب به‌عنوان VBA/TrojanDownloader.Agent.BCX شناسایی شده است که بارداده‌ی Nymaim را بارگیری کرده و آن را در یک پرونده‌ی جدید اجرایی در پوشه‌ی (temporary folder (%temp% ذخیره و سپس اجرا می‌کند. محققان شرح داده‌اند که این بدافزار از یک بارگیری کننده‌ی دومرحله‌ای استفاده می‌کند، با یک باج‌افزار برای رمزنگاری پرونده به‌عنوان بار داده‌ی نهایی مرتبط است.

نمونه‌ی مورد تجزیه و تحلیل ظاهراً در تاریخ ۱۷ ماه می سال ۲۰۱۶ ایجاد شده است درحالی‌که تاریخ سند مخرب ۱۸ ماه می است. محققان می‌گویند که از آنجا که این نوع خانواده‌ی بدافزار اولین بار در اکتبر سال ۲۰۱۵ کشف شدند، مهاجمان تصمیم گرفته‌اند تا Nymaim را در یک نمونه جدید برای انجام یک حمله‌ی خاص بسته‌بندی کنند.

علاوه‌ بر این، شرکت ESET نشان می‌دهد که بیشترین حملات Nymaim در برزیل مشاهده شده است و بر مؤسسات مالی تمرکز کرده‌اند، اگرچه این کشور برآورد کرده است که تنها ۰.۰۷ درصد از حوادث رخ داده مربوط به این نمونه بوده‌اند که آن را در جایگاه ۱۱ فهرست قرار می‌دهد. هنگامی‌که آمار تشخیص کلی انواع Nymaim از سال ۲۰۱۵ در نظر گرفته شود، برزیل در جایگاه ۳۹ قرار می‌گیرد.

محققان شرکت ESET نتیجه گرفته‌اند: «یک راهبرد پیشگیرانه برای این تهدید می‌تواند این است که آی‌پی‌هایی را که با این بدافزار در ارتباط هستند در دیواره‌ی آتش، در فهرست سیاه قرار داده و تا زمانی که شبکه‌ی شما این نوع پالایش را پشتیبانی می‌کند نشانی‌های URL را در پروکسی بگذاریم. علاوه بر این، مهم است که به استفاده از حفاظت ضدبدافزارها در نقاط انتهایی بپردازیم و در کنار آن از قابلیت‌های ضد فیشینگ و کنترل شبکه استفاده کنیم؛ به علاوه همه‌ی قسمت‌ها را به‌روز نگه داریم».

در ماه آوریل امسال، محققان شرکت امنیتی IBM یک بدافزار مختلط را کشف کردند که ترکیبی از نصب کننده‌ی Nymaim و بدافزار مالی Gozi بود. به نظر می‌رسید این بدافزار که GozNym نام گرفت، به کاربران در اروپا در اواخر آوریل حمله کرده است، اما از اواخر ماه گذشته بانک‌های عمده در ایالات متحده آمریکا را نیز هدف خود قرار داده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.