بدافزار Nymaim همچنان قربانی میگیرد + راهحل
در
سال 2013 ، بدافزار Nymaim پا به عرصه ظهور نهاد. در آن زمان این بدافزار
موفق شد طیف گستردهای از کاربران سراسر جهان را قربانی خود کند. به نظر
میرسد این بدافزار یکبار دیگر بازمهندسی شده و دوباره کاربران زیادی را
قربانی خود ساخته است. گزارشی که متخصصان شرکت ESET منتشر کردهاند، نشان
میدهد این بدافزار در مقایسه با سال گذشته میلادی حدود 63 درصد جهش داشته
است.
به گزارش سافت گذر به نقل ازمجله شبکه؛ این
گزارش نشان میدهد تعداد نمونههای شناساییشده از این بدافزار در نیمه
اول سال 2016 ، به تنهایی معادل تمامی گونههایی است که در سال 2015 کشف
شدند. این رشد چشمگیر هشدار میدهد که بار دیگر با تهدیدی جدی روبهرو
هستیم. تحقیقات میدانی ESET نشان میدهند که اینبار کشور لهستان در صدر
قربانیان قرار گرفته است و 54 درصد موارد شناساییشده از این بدافزار در
کشور لهستان مشاهده شدهاند. پس از آن آلمان با 16 درصد و ایالات متحده با
12 درصد در مکانهای بعدی قرار گرفتهاند. بر خلاف نسخههای قبلی که در آن
کاربر باید فایل مخرب را دانلود میکرد، در نسخههای جدید دیگر نیازی به
این ترفند نیست و Nymaim از طریق ایمیلهای فیشینگ کاربران را قربانی خود
میسازد. این ایمیلها دربرگیرنده یک سند ورد مایکروسافت هستند که به ایمیل
ضمیمه شدهاند.
درون
این فایلهای ورد ماکروهای آلوده قرار دارند. بدافزار برای فریب کاربران
بهمنظور باز کردن این اسناد آلوده، از مهندسی اجتماعی کمک میگیرد. برای
این منظور فایل ورد متون را به صورت درهم به کاربر نشان میدهد و از وی
درخواست میکند برای مشاهده عادی این فایل و بهمنظور نمایش محتوای درون
سند، آن را در حالت سازگار قرار دهد. شایان ذکر است مایکروسافت بهمنظور
پیشگیری از بروز حملات ماکرو، زمانی که کاربر سند وردی را از اینترنت
دانلود میکند، آن را در حالت محافظتشده نشان میدهد. این تکنیک بهمنظور
پیشگیری از شیوع بدافزارها از سوی مایکروسافت اتخاذ شده است. به همین شکل
پیامی که از سوی این بدافزار طراحی شده و به کاربر نشان داده میشود، شباهت
زیادی به نوار هشدار زردرنگی دارد که از سوی ورد مایکروسافت به کاربران
نشان داده شده است و این گونه سعی میکند کاربران را به دام بیندازد.
این
ماکروی مخرب VBA/TrojanDownloader.Agent.BCX نام دارد که برای دانلود
بدافزار Nymaim استفاده میشود. زمانی که بدافزار دانلود شد، در قالب یک
فایل اجرایی در پوشه %temporary folder (%temp) ذخیره شده و اجرا میشود.
متخصصان ESET کشف کردهاند که فرایند دانلود این بدافزار دومرحلهای است که
یک باجافزار ویژه را که برای رمزگاری فایلها استفاده میشود، در مرحله
دوم دانلود میکند. تحقیقات ESET نشان میدهد طیف گستردهای از حملات
هدفمند Nymain، کشور برزیل را نشانه رفتهاند و تمرکز این بدافزار در این
کشور بر مؤسسات مالی بوده است. برآوردهای کشور برزیل نشان میدهد تنها 0.07
درصد حوادث سایبری در این کشور با نمونههای جدیدی از این بدافزار مرتبط
بودهاند. همین موضوع باعث شده است برزیل در جایگاه یازدهم قربانیان این
بدافزار قرار بگیرد.
چگونه در مقابل این بدافزار از خود محافظت کنیم؟
کارشناسان
امنیتی ESET اعلام کردهاند بهترین راهکاری که از کاربران در برابر این
بدافزار محافظت میکند، این است که آدرسهای IP متعلق به این بدافزار در
فهرست سیاه دیوارهای آتش قرار گیرند. همچنین اگر جزو آن گروه از کاربرانی
هستید که شبکه شما از این راهکار پشتیبانی نمیکند، بهتر است آدرسهای
اینترنتی را درون پروکسی قرار دهید. افزون بر این، توصیه میشود از
مکانیزمهای ضدبدافزاری در نقاط پایانی همراه با ابزارهای ضدفیشینگ و کنترل
شبکه استفاده کنید. در نهایت سعی کنید نرمافزارهای خود را بهطور مداوم
بهروز نگه دارید.
در
ماه آوریل، کارشناسان امنیتی شرکت آیبیام گزارش دادند که یک بدافزار
ترکیبی کشف کردهاند. این بدافزار از یک نصبکننده Nymaim و بدافزار مالی
Gozi ساخته شده بود. این بدافزار که GozNym نام دارد، در اواخر ماه آوریل و
اوایل ماه می به کاربران ساکن در اروپا حمله کرده بود. جالب آنکه این
بدافزار از اواخر ماه جولای مکانیزم خود را تغییر داده و عمدتاً به سراغ
بانکهای ایالات متحده رفته است. برای آگاهی بیشتر در خصوص این بدافزار به
این نشانی مراجعه کنید.
کد خبر:
33449
گروه خبری:
اخبار فناوری
منبع خبر:
مجله شبکه
تاریخ خبر:
1395/06/03
تعداد مشاهده:
1233