Trojan bankowy Nymaim powrócił do Polski i ma się dobrze

31 stycznia 2017

Od 2013 roku wykorzystywany głównie jako dropper dla ransomware TorrentLockera, a od pierwszego kwartału 2016 roku poznany przede wszystkim jako banker – czyli trojan Nymaim, który powstał w oparciu o kod źródłowy innego szkodliwego programu (Gozi), początkowo zapewniał cyberprzestępcom zdalny dostęp do komputerów PC. Później jako trojan bankowy został sklasyfikowany przez badaczy bezpieczeństwa w rankingu TOP-10 najpopularniejszych szkodliwych programów finansowych. Teraz, po krótkim niebycie powraca do Polski i może atakować klientów ponad 200 polskich banków (kilkanaście większych banków, w tym kilkaset banków spółdzielczych).

Bardzo mocno zobfuskowany kod trojana Nymaim znacząco utrudnia jego analizę, jednak nie przeszkodziło to polskiemu zespołowi CERT, który szczegółowo opisuje analizę szkodnika (polecamy lekturę).

Nymaim może objawiać się w postaci szkodliwego załącznika jako dropper (chociaż jeśli wykryje wirtualizację lub odcięcie komputera od sieci może się nie uruchomić), który po nawiązaniu połączenia z C&C pobiera szkodliwy payload i jest w stanie podmienić fragment strony banku lub dodać nowe pola (webinject), a także wstrzyknąć kod javascript (np. jako odwołanie do zewnętrznej strony). Opcjonalnie pobierany jest także bot_proxy, który próbuje otwierać porty na routerze przy pomocy protokołu UPNP i odpowiada za komunikację w botnecie przez P2P. Niemniej jednak Nymaim stanowi jedną rodzinę malware: zawiera ten sam kod, obfuskator, format konfiguracji, protokół sieciowy i metody szyfrowania.

Aby jednak trojan zdołał wykraść pieniądze z konta ofiary, potrzebuje przechwycić jednorazowe kody dostępu lub kody SMS. Metodą webinject może to zrobić wstrzykując w kod źródłowy strony banku dodatkowe pole w formularzu potwierdzającym przelew i to w zupełnie innym miejscu, niż jest do tego przyzwyczajony klient banku, np. pod przykrywką dodatkowej autoryzacji. W tym momencie, trojan wykonuje w tle przelew na zdefiniowane konto bankowe lub dodaje zaufanego odbiorcę do przelewów zdefiniowanych bez potwierdzania tej operacji kodem SMS.

Do tej pory, badacze z CERT Polska największą aktywność trojana Nymaim zauważyli w naszym kraju – jest to około 50% wszystkich zaobserwowanych węzłów botnetu – i jak sami wyjaśniają, „prawdopodobnie dlatego że badania koncentrowały się na naszym [czyt. w Polsce] obszarze działania”.

49.9% (~7.5k) dostępnych publicznie węzłów, 30% (~4.5k) w Niemczech, 15.7% (~2.2k) w USA.

Obfuskacja = problem dla antywirusów

Tak zwana obfuskacja, czyli zaciemnienie kodu może powodować dla programów antywirusowych niemały problem. I chociaż techniki ukrywania kodu są producentom aplikacji bezpieczeństwa znane od wielu lat, to i tak niektórzy z nich nie nie dokładają należytej staranności, aby jednocześnie zagwarantować dobrą wydajność oraz ochronę na możliwie wysokim poziomie. Przykład mobilnych antywirusów, gdzie większość z nich jest po prostu kiepska może nie jest najbardziej trafny, bowiem odnosi się do ochrony mobilnej w systemie Android, jednak praktyka pokazuje (wiemy to także z własnych testów), że zastosowanie podobnych mechanizmów zaciemniania kodu plików wykonywalnych w systemie Windows może dać niestety podobne rezultaty.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA