Trojan bankowy Nymaim powrócił do Polski i ma się dobrze

31 stycznia, 2017

Od 2013 roku wykorzystywany głównie jako dropper dla ransomware TorrentLockera, a od pierwszego kwartału 2016 roku poznany przede wszystkim jako banker – czyli trojan Nymaim, który powstał w oparciu o kod źródłowy innego szkodliwego programu (Gozi), początkowo zapewniał cyberprzestępcom zdalny dostęp do komputerów PC. Później jako trojan bankowy został sklasyfikowany przez badaczy bezpieczeństwa w rankingu TOP-10 najpopularniejszych szkodliwych programów finansowych. Teraz, po krótkim niebycie powraca do Polski i może atakować klientów ponad 200 polskich banków (kilkanaście większych banków, w tym kilkaset banków spółdzielczych).

Bardzo mocno zobfuskowany kod trojana Nymaim znacząco utrudnia jego analizę, jednak nie przeszkodziło to polskiemu zespołowi CERT, który szczegółowo opisuje analizę szkodnika (polecamy lekturę).

Nymaim może objawiać się w postaci szkodliwego załącznika jako dropper (chociaż jeśli wykryje wirtualizację lub odcięcie komputera od sieci może się nie uruchomić), który po nawiązaniu połączenia z C&C pobiera szkodliwy payload i jest w stanie podmienić fragment strony banku lub dodać nowe pola (webinject), a także wstrzyknąć kod javascript (np. jako odwołanie do zewnętrznej strony). Opcjonalnie pobierany jest także bot_proxy, który próbuje otwierać porty na routerze przy pomocy protokołu UPNP i odpowiada za komunikację w botnecie przez P2P. Niemniej jednak Nymaim stanowi jedną rodzinę malware: zawiera ten sam kod, obfuskator, format konfiguracji, protokół sieciowy i metody szyfrowania.

Aby jednak trojan zdołał wykraść pieniądze z konta ofiary, potrzebuje przechwycić jednorazowe kody dostępu lub kody SMS. Metodą webinject może to zrobić wstrzykując w kod źródłowy strony banku dodatkowe pole w formularzu potwierdzającym przelew i to w zupełnie innym miejscu, niż jest do tego przyzwyczajony klient banku, np. pod przykrywką dodatkowej autoryzacji. W tym momencie, trojan wykonuje w tle przelew na zdefiniowane konto bankowe lub dodaje zaufanego odbiorcę do przelewów zdefiniowanych bez potwierdzania tej operacji kodem SMS.

Do tej pory, badacze z CERT Polska największą aktywność trojana Nymaim zauważyli w naszym kraju – jest to około 50% wszystkich zaobserwowanych węzłów botnetu – i jak sami wyjaśniają, „prawdopodobnie dlatego że badania koncentrowały się na naszym [czyt. w Polsce] obszarze działania”.

pie
49.9% (~7.5k) dostępnych publicznie węzłów, 30% (~4.5k) w Niemczech, 15.7% (~2.2k) w USA.

Obfuskacja = problem dla antywirusów

Tak zwana obfuskacja, czyli zaciemnienie kodu może powodować dla programów antywirusowych niemały problem. I chociaż techniki ukrywania kodu są producentom aplikacji bezpieczeństwa znane od wielu lat, to i tak niektórzy z nich nie nie dokładają należytej staranności, aby jednocześnie zagwarantować dobrą wydajność oraz ochronę na możliwie wysokim poziomie. Przykład mobilnych antywirusów, gdzie większość z nich jest po prostu kiepska może nie jest najbardziej trafny, bowiem odnosi się do ochrony mobilnej w systemie Android, jednak praktyka pokazuje (wiemy to także z własnych testów), że zastosowanie podobnych mechanizmów zaciemniania kodu plików wykonywalnych w systemie Windows może dać niestety podobne rezultaty.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]