Trojan bankowy Nymain znów grasuje, CERT Polska analizuje zagrożenie
Analiza tego zagrożenia nie należała do najprostszych, ale ekspertom z CERT Polska udało się uzyskać kilka informacji.
Nymaim powrócił i ma chrapkę na nasze konta bankowe. Trojan zagraża klientom wielu banków działających na terenie naszego kraju.
Jego historia sięga roku 2013, kiedy to powstały na bazie Gozi (innego szkodliwego oprogramowania) trojan służył cyberprzestępcom do uzyskiwania zdalnego dostępu do zainfekowanych komputerów. W ubiegłym roku Nymaim był już klasyfikowany jako trojan bankowy i choć potem przez pewien czas było o nim cicho, teraz powrócił i znów grasuje. Atakuje klientów ponad 200 polskich banków, włączając w to oczywiście te spółdzielcze.
Był nieaktywny, bo wykorzystywana przez niego sieć została wyłączona dzięki skoordynowanej, międzynarodowej akcji organów ścigania. Twórcy nie dają jednak za wygraną i kontynuują prace nad swoim trojanem rozsyłanym do użytkowników w różnych postaciach (dropper, payload, bot_peer). Efektem infekcji zawsze ma być jednak wykradanie haseł, w celu przejęcia kontroli nad kontem bankowym ofiary.
Trojan Nymain jest w stanie podmienić stronę internetową banku na witrynę utworzoną przez cyberprzestępców, jak również dodać pola do autentycznej strony lub wstrzyknąć javascript. Zebrane dane przesyła zaś dalej. Jego analiza nie była łatwa ze względu na mocno zobfuskowany (czyli zaciemniony) kod. Ekspertom z CERT Polska się to jednak udało, a o efektach ich pracy możecie przeczytać w przygotowanym przez nich artykule.
Źródło: CERT Polska
Komentarze
2