Nueva variante del Nymaim que incluye métodos actualizados de entrega y obfuscación y el uso de rutinas de PowerShell para descargar sus cargas útiles.
El Nymaim actualizado, es utilizado principalmente para descargar troyanos bancarios, también se está extendiendo ransomware, que según la empresa de seguridad Verint, ha estado supervisando un número creciente de ataques durante el año pasado. Los ataques con Nymaim subieron un 63 por ciento en comparación con 2015, dijo Moshe Zioni, director de investigación de seguridad de Verint.La variante 2013 del Nymaim, que se distribuyó casi exclusivamente a través de descargas, la nueva encarnación aporta nuevas características a la mesa y se propaga a través del phishing de lanza. "Las nuevas características y capacidades que aún no se han visto (en el anterior Nymaim variantes), incluyendo nuevos mecanismos de entrega, métodos de ofuscación, el uso de PowerShell e incluso una forma interesante de 'solución anti-security/análisis" o lista negra ", segun Zioni y Biderman.
Según los investigadores, las últimas muestras de Nymain estan destinadas a las víctimas con correos electrónicos que contienen archivos adjuntos de documentos maliciosos de Microsoft Word. "Al abrir el archivo adjunto, parece un intento clásico de phishing, que intenta convencer al usuario para habilitar la macro desde que el documento está protegido", dijeron los investigadores. Un examen más detenido de las cadenas del documento malintencionado reveló que el código visual de las aplicaciones básicas para aplicaciones (VBA) se ha ofuscado utilizando un mecanismo ROT no estándar.
El análisis anterior de la técnica de obfuscación de Nymaim observó un mecanismo de ofuscación ROT", escribieron los investigadores. Según Zioni y Biderman la nueva ofuscación utiliza dos tipos de táctica. "Uno es un esfuerzo para ofuscar cadenas en particular, el otro es hacer que los métodos de Macro prácticamente ilegibles y engorroso para el ingeniero inverso", dijeron los investigadores. "La desobstrucción de cadenas se implementa calculando un grupo cíclico de números que conducirá al reordenamiento correcto de la cadena". Otro cambio incluye el orden de ejecución e implementación dentro de la primera etapa de la caída de la carga útil después de que se haya activado la macro maliciosa.
Para empezar, se inicia la rutina de PowerShell para ordenar la descarga de la primera etapa de la carga útil desde un servidor de comandos y control. En segundo lugar, una prueba de conectividad "pre-ejecución" adicional se ejecuta a través de una solicitud GET a "https://www.maxmind.com/en/locate-my-ip-address" con un valor user-agent de "Mozilla / 5.0 (Compatible, MSIE 10.0, Windows NT 6.1, Trident / 6.0) ". "El agente de usuario en el lugar se implementó en la vista previa de la plataforma de Internet Explorer 10 (2011), una opción algo peculiar para una variante actualizada puede señalar el origen del código del mecanismo", dijo Zioni y Biderman.
Y en un intento de prevenir la detección, el malware utilizó los datos de dirección IP a través de la solicitud GET para poner en lista negra cualquier herramienta de análisis particular con las subcadenas Fortinet, Cisco, Palo Alto y otros. "Si la sub-cadena se encuentra dentro de la respuesta no se acercará a la función de descarga de la carga de la primera etapa", según los investigadores. Los investigadores también señalan, se presta una atención especial a la parte de ingeniería social del ataque. Las víctimas suelen ser gerentes de alto nivel y los atacantes tratan de maximizar las posibilidades de un receptor de abrir y habilitar macros de Word que dispara la siguiente fase del ataque. "El mensaje de correo electrónico incluye el título del trabajo del destinatario en la línea de asunto ("Vicepresidente - Recursos Humanos"), mientras que el cuerpo del mensaje incluye detalles como el nombre completo del destinatario y la dirección de la oficina", dijo Verint.
Los dominios de distribución que alojan la carga útil de Nymaim, según Zioni y Biderman, han incluido silkflowersdecordesign[.]Com/admin /worddata.dat. Normalmente, el nombre del documento coincide con el nombre de la empresa objetivo y el archivo adjunto es un archivo de Microsoft Word 2007 o más reciente.
La semana pasada, Microsoft soluciono la amenaza de ataques maliciosos de fijación por permitiendo a los administradores de sistemas configurar Office 2013 para bloquear Word, Excel, PowerPoint y macros. La capacidad previamente se había introducido en marzo por Microsoft para su software de Office 2016.
