Kenkėjiška programa „Nymaim“ vėl atakuoja Europą

2016-07-13 06:01

DMN inf.

ESET saugumo ekspertai įspėja, kad prieš kelerius metus pasirodęs kenkėjas „Nymaim“ vėl atakuoja kompiuterių naudotojus. Itin intensyviai per tikslinius sukčiavimo el. laiškus (angl. spearphishing) plintanti kenkėjiška programa šiuo metu labiausiai atakuoja Lenkiją.

Nuo savo plitimo pradžios 2013 m. „Nymaim“ užkrėtė virš 2,8 milijono įrenginių. Lyginant su praėjusių metų pirmuoju pusmečiu, 2016 m. kenkėjo užkrato atvejų išaugo 63 proc. Pirmąjį šių metų pusmetį ESET nustatė atnaujintą kenkėjo versiją „Win32/TrojanDownloader.Nymaim.BA“, kuri daugiausiai buvo aptikta Lenkijoje (54 proc.), Vokietijoje (16 proc.) ir JAV (12 proc.).

„Nymaim“ plinta sukčiavimo el. laiškais kaip kenksmingas „Word“ formato priedas, kurį bandant atidaryti prašoma įgalinti makrokomandas. Taip socialinės inžinerijos pagalba apeinami numatytieji „Microsoft Word“ apsaugos nustatymai, ir kenkėjas užkrečia kompiuterį kitais virusais.

„Pasitelkdamas pažangias vengimo, slėpimosi technikas, antiderinimo (angl. anti-debugging) ir reguliuojamo srauto galimybes, šis dviejų lygių atsisiuntėjas, anksčiau platinęs išpirkos reikalaujančius kenkėjus, dabar evoliucionavo ir pradėjo diegti šnipinėjimo programas“, – komentuoja ESET Lotynų Amerikos saugumo tyrėjas Cassius de Oliveira Puodzius.

Balandį minėta versija buvo papildyta hibridiniu „Nymaim“ variantu ir kitu kenkėju „Gozi“, jos taikinyje atsidūrė Šiaurės Amerikos finansinės įstaigos. Taip pat kenkėjiškos programos aktyviai plinta Lotynų Amerikoje, daugiausiai Brazilijoje, programišiams suteikdamos galimybę valdyti užkrėstus kompiuterius nuotoliniu būdu.

Pasak saugumo ekspertų, remiantis atakuojamų šalių taikinių panašumais, susidaro įspūdis, kad būtent finansinės įstaigos yra pagrindinis kibernetinių nusikaltėlių tikslas. Šiuo metu ruošiama detali dokumentacija apie „Nymaim“.

„Jei įtariate, kad jūsų kompiuteris ar tinklas buvo užkrėstas, rekomenduojame patikrinti ar tam tikri IP bei URL adresai nėra randami ugniasienės ir tarpinio serverio (proxy) įrašuose. Bet kuriuo atveju, jei tinklas leidžia filtruoti, galima šiuos kenkėjo naudojamus adresus įtraukti į juodąjį sąrašą. Žinoma, nepamirštant pasirūpinti ir tinkama antivirusine apsauga kartu su antišnipinėjimo galimybėmis“, – pataria C. O. Puodzius.

„Nymaim“ naudojami IP ir URL adresai:

154.58.222.139

70.212.173.116

206.114.64.228

142.126.57.60

35.51.69.111

165.203.213.15

101.186.50.249

31.184.234.158

162.244.32.165

hxxp://olmart.com/system/cache/word.exe

hxxp://securesrv15.com/article/509.exe