بدافزار Nymaim همچنان قربانی می‌گیرد + راه‌حل

این گزارش نشان می‌دهد تعداد نمونه‌های شناسایی‌شده از این بدافزار در نیمه اول سال 2016 ، به تنهایی معادل تمامی گونه‌هایی است که در سال 2015 کشف شدند. این رشد چشمگیر هشدار می‌دهد که بار دیگر با تهدیدی جدی روبه‌رو هستیم. تحقیقات میدانی ESET نشان می‌دهند که این‌بار کشور لهستان در صدر قربانیان قرار گرفته است و 54 درصد موارد شناسایی‌شده از این بدافزار در کشور لهستان مشاهده شده‌اند. پس از آن آلمان با 16 درصد و ایالات متحده با 12 درصد در مکان‌های بعدی قرار گرفته‌اند. بر خلاف نسخه‌های قبلی که در آن کاربر باید فایل مخرب را دانلود می‌کرد، در نسخه‌های جدید دیگر نیازی به این ترفند نیست و Nymaim از طریق ایمیل‌های فیشینگ کاربران را قربانی خود می‌سازد. این ایمیل‌ها دربرگیرنده یک سند ورد مایکروسافت هستند که به ایمیل ضمیمه شده‌اند.

مطلب پیشنهادی

بیگانه‌ای پرسه می‌زند

مجرمان سایبری حملات فیشینگ را سازمان‌دهی می‌کنند!

درون این فایل‌های ورد ماکروهای آلوده قرار دارند. بدافزار برای فریب کاربران به‌منظور باز کردن این اسناد آلوده، از مهندسی اجتماعی کمک می‌گیرد. برای این منظور فایل ورد متون را به صورت درهم به کاربر نشان می‌دهد و از وی درخواست می‌کند برای مشاهده عادی این فایل و به‌منظور نمایش محتوای درون سند، آن را در حالت سازگار قرار دهد. شایان ذکر است مایکروسافت به‌منظور پیشگیری از بروز حملات ماکرو، زمانی که کاربر سند وردی را از اینترنت دانلود می‌کند، آن را در حالت محافظت‌شده نشان می‌دهد. این تکنیک به‌منظور پیشگیری از شیوع بدافزارها از سوی مایکروسافت اتخاذ شده است. به همین شکل پیامی که از سوی این بدافزار طراحی شده و به کاربر نشان داده می‌شود، شباهت زیادی به نوار هشدار زردرنگی دارد که از سوی ورد مایکروسافت به کاربران نشان داده شده است و این گونه سعی می‌کند کاربران را به دام بیندازد. 
این ماکروی مخرب VBA/TrojanDownloader.Agent.BCX نام دارد که برای دانلود بدافزار Nymaim استفاده می‌شود. زمانی که بدافزار دانلود شد، در قالب یک فایل اجرایی در پوشه %temporary folder (%temp) ذخیره شده و اجرا می‌شود. متخصصان ESET کشف کرده‌اند که فرایند دانلود این بدافزار دومرحله‌ای است که یک باج‌افزار ویژه را که برای رمزگاری فایل‌ها استفاده می‌شود، در مرحله دوم دانلود می‌کند. تحقیقات ESET نشان می‌دهد طیف گسترده‌ای از حملات هدفمند Nymain، کشور برزیل را نشانه‌ رفته‌اند و تمرکز این بدافزار در این کشور بر مؤسسات مالی بوده است. برآوردهای کشور برزیل نشان می‌دهد تنها 0.07 درصد حوادث سایبری در این کشور با نمونه‌‌های جدیدی از این بدافزار مرتبط بوده‌اند. همین موضوع باعث شده است برزیل در جایگاه یازدهم قربانیان این بدافزار قرار بگیرد.

چگونه در مقابل این بدافزار از خود محافظت کنیم؟
کارشناسان امنیتی ESET اعلام کرده‌اند بهترین راهکاری که از کاربران در برابر این بدافزار محافظت می‌کند، این است که آدرس‌های IP متعلق به این بدافزار در فهرست سیاه دیوارهای آتش قرار گیرند. همچنین اگر جزو آن گروه از کاربرانی هستید که شبکه شما از این راهکار پشتیبانی نمی‌کند، بهتر است آدرس‌های اینترنتی را درون پروکسی قرار دهید. افزون بر این، توصیه می‌شود از مکانیزم‌های ضدبدافزاری در نقاط پایانی همراه با ابزارهای ضدفیشینگ و کنترل شبکه استفاده کنید. در نهایت سعی کنید نرم‌افزارهای خود را به‌طور مداوم به‌روز نگه دارید. 

در ماه آوریل، کارشناسان امنیتی شرکت آی‌بی‌ام گزارش دادند که یک بدافزار ترکیبی کشف کرده‌اند. این بدافزار از یک نصب‌کننده Nymaim و بدافزار مالی Gozi ساخته شده بود. این بدافزار که GozNym نام دارد، در اواخر ماه آوریل و اوایل ماه می به کاربران ساکن در اروپا حمله کرده بود. جالب آنکه این بدافزار از اواخر ماه جولای مکانیزم خود را تغییر داده و عمدتاً به سراغ بانک‌های ایالات متحده رفته است. برای آگاهی بیشتر در خصوص این بدافزار به این نشانی مراجعه کنید.