Увеличились атаки с использованием дроппера Nymaim


ESET NOD32Компания ESET проанализировала атаки с использованием вредоносного ПО Nymaim, которые происходили в первом полугодии 2016 года. Полученные данные показали, что количество атак с использованием данного вредоноса увеличилось на 63% по сравнению с аналогичным периодом прошлого года. При этом больше всего атак пришлось на:

  • Польшу - 54%;
  • Германию - 16%;
  • США - 12%.


Примечательно то, что в прошлом месяце было зафиксировано больше инфекций, чем за весь 2015 год.

Напомним, вредоносное ПО Nymaim впервые было обнаружено еще в 2013 году. Начиная с 2014 года оно стало использоваться все реже и реже. Вредонос представляет собой дроппер, загружающий в два этапа полезную нагрузку, в качестве которой зачастую выступает вымогательское ПО.

Также стоит отметить, если версии вредоноса 2013 года распространялись с помощью атак drive-by-download (Nymaim попадал на компьютер, когда жертва посещала вредоносный сайт), то вариант 2016 года распространяется посредством фишинговых писем с прикрепленным документом Microsoft Word.

Вложенный в письмо документ содержит вредоносный макрос. А поскольку в целях безопасности в Microsoft Word макросы по умолчанию отключены, то злоумышленникам приходится прибегать к помощи социальной инженерии, чтобы заставить жертву активировать их. Например, отображение текста документа в искаженном виде. Пользователь может предположить, что для его расшифровки необходимо предпринять какие-то шаги. А вверху письма, как нельзя кстати, есть сообщение

  • "перевести контент в режим совместимости" ("enable content to run in compatibility mode")


После активации вредоносный макрос, детектируемый как VBA/TrojanDownloader.Agent.BCX, загружает Nymaim.


Обновлено (14.07.2016 23:04)