SICUREZZA-Università: Darktrace, luoghi di libera circolazione di idee…e di...

INNOVAZIONE-SprintItaly: UNIC – Concerie Italiane investe €4 mln nell’economia...

27 marzo 2019 Comments Off on SICUREZZA IT-Nymaim, il codice dalle mille facce – finalmente decodificato. L’analisi di Proofpoint Commerciale

SICUREZZA IT-Nymaim, il codice dalle mille facce – finalmente decodificato. L’analisi di Proofpoint

Rilevato per la prima volta nel 2013, Nymaim era stato catalogato sia come downloader di primo livello e locking malware di secondo. Diffuso principalmente attraverso l’exploit kit Blackhole, molti utenti hanno scoperto di esserne stati colpiti perché il loro blocca schermo richiedeva diversi riscatti. Nel 2016, Proofpoint ha documentato la distribuzione del Trojan bancario Ursnif tramite campagne email e la presenza di moduli webinject all’interno dello stesso Nymaim.

Recentemente, il codice si è evoluto in un downloader più robusto che include una gamma di funzioni per il furto di informazioni e la profilazione del sistema. Questa versione è apparsa sia in campagne a livello mondiale che in attacchi mirati rivolti a Nord America, Germania, Italia e Polonia. A questo proposito, Nymaim segue le tendenze globali del malware, con un focus sulle infezioni persistenti e non distruttive per raccogliere informazioni a lungo termine e scaricare in modo flessibile ulteriore malware scelto dall’autore.

Nonostante la sua lunga storia e l’ampliarsi della sua diffusione via email, restano molti aspetti di Nymaim non ancora ben chiari, tra cui la sua ideazione e la disponibilità da parte di gruppi di criminali. Il formato e l’interazione di configurazione con una virtual machine eseguita all’interno del malware appaiono peculiari. Sebbene CERT.pl abbia già descritto gli algoritmi di cifratura della configurazione, esempi recenti ora fanno uso di un linguaggio bytecode con logica propria che viene interpretato dal malware attivo in una macchina virtuale gestita da Nymaim.

Tutti i dettagli tecnici del codice sono disponibili https://www.proofpoint.com/us/threat-insight/post/nymaim-config-decoded

Comments are closed.