بدافزار Nymaim برای بارگیری بار داده از پاورشِل استفاده می‌کند

۶بدافزار Nymaim اخیراً با ویژگی‌های جدیدی وارد میدان حملات سایبری شده است. این بدافزار از روش‌های جدید تحویل و مبهم‌سازی استفاده کرده و از پاورشِل نیز بهره می‌برد. ویژگی دیگری که نظر محققان امنیتی را به خود جلب کرده یک سازوکار ضد-تشخیص و ضد-تحلیل است.

بدافزار Nymaim از سال ۲۰۱۳ وجود داشته و به‌طور کلی به‌عنوان نصب‌کننده‌ی تهدیدهای دیگر همچون باج‌افزارهای رمزنگاری پرونده و تروجان‌های بانکی استفاده شده است. این بدافزار از سال ۲۰۱۳ خیلی مورد توجه نبوده تا امسال که ESET گزارش داد که ۶۳ درصد آلودگی به این بدافزار نسبت به سال ۲۰۱۵ افزایش یافته است. نویسندگان Nymaim همچنین کد این بدافزار را با کد گرفته‌شده از Gozi ISFB مجدد کامپایل کرده و یک تروجان بانکی ترکیبی با نام GozNym را ایجاد کردند.

ESET ماه جولای گزارش داد که بدافزار Nymaim شیوه‌ی توزیع خود را از حالت drive-by downloads به استفاده از رایانامه‌های فیشینگ نیزه‌ای حاوی اسناد Word که قابلیت ماکروی آن‌ها فعال است، تغییر داده است. گروه تحقیقات سایبری Verint که این تغییر را گزارش داده، همچنین در نسخه‌ی جدید چندین تغییر قابل توجه را کشف کرده است.

مهاجمانی که توسط Verint مشاهده شدند، مدیران رده بالا را هدف قرار داده بود. در یکی از این رایانامه‌ها که این شرکت مشاهده کرده بود، ادعا شده است که این رایانامه از سمت مدیر مالی یک شرکت بزرگ برای معاونت منابع انسانی فرستاده شده است. این پیام به خوبی طراحی شده و حاوی نام کامل و آدرس گیرنده است.
وقتی کاربر پرونده‌ی ضمیمه‌شده را باز می‌کند، با یک سند محافظت‌شده مواجه می‌شود که به او گفته می‌شود بر روی قابلیت مشاهده محتوا کلیک کند که در این صورت ماکروی مخرب اجرا خواهد شد. کارشناسان می‌گویند توابع رشته‌ای و ماکروها برای جلوگیری از تحلیل و بررسی مبهم‌سازی شده‌اند.

یکی دیگر از ویژگی‌های جدید در بدافزار Nymaim استفاده از پاورشِل برای بارگیری بار داده‌ی مرحله‌ی اول است. هرچند قبل از اینکه بار داده بارگیری شود، کد ماکرو از سرویس GeoIP مربوط به MaxMind پرس‌وجو می‌کند. پاسخ این پرس‌وجو مورد تحلیل و بررسی قرار می‌گیرد تا تشخیص داده شود که آیا بر روی سامانه‌ی قربانی ابزارهای تحلیلی و امنیتی وجود دارد یا خیر.

شرکت McAfee اخیرا گزارشی در مورد بدافزارهای ماکرو منتشر کرد که در آن توضیح داده شده بود چگونه بدافزارها از MaxMind برای جلوگیری از تشخیص توسط محصولات امنیتی استفاده می‌کنند.
در مورد بدافزار Nymaim نیز اگر پاسخِ پرس‌وجو از MaxMind نشان‌دهنده‌ی وجود محصول امنیتی یا رشته‌هایی مثل «مرکز داده» یا «اَبر» باشد، بار داده‌ی مرحله‌ی اول بارگیری نخواهد شد.

محققان گروه Verint در پستی اعلام کردند: «این نمونه بدافزار مثال بارز دیگری است از بکارگیری روش‌های پیچیده برای توزیع و مبهم‌سازی بدافزارها که قبلاً فقط در مورد بدافزارهای بسیار پیچیده و خطرناک شاهد آن بودیم. این روند استفده از روش‌های پیچیده توسط بدافزارها در حال افزایش است. به‌عبارت دیگر تهدیدات پیشرفته بیش از پیش قربانیان زیادی در سرتاسر دنیا را هدف قرار خواهند داد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter