Nymaim GozNym Malware

1
WEBIMPRINTS Empresa de pruebas de penetración
Empresa de seguridad informática http//www.webim
prints.com/seguridad-informatica.html
Nymaim GozNym Malware
2
Nymaim GozNym Malware
Según Webimprints una empresa de pruebas de
penetración, Nymaim es un dropper de malware de
dos etapas. Normalmente se infiltra en
computadoras a través de kits de explotación y
luego se ejecuta la segunda etapa de su carga una
vez que está en la máquina, efectivamente usando
dos archivos ejecutables para el proceso de
infección. Por sí solo, el Nymaim troyano es un
gotero sigiloso y persistente que utiliza
técnicas de evasión, como el cifrado, anti-VM,
anti-depuración y la ofuscación de control de
flujo.
3
Nymaim GozNym Malware
Según expertos de pruebas de penetración, A pesar
de que ha incursionado con otros troyanos
bancarios en el pasado, su primera conexión
estrecha con malware bancario comenzó en
noviembre de 2015 hasta entonces, Nymaim se
utiliza casi exclusivamente como un dropper de
ransomware. Las versiones anteriores de Nymaim
utilizan para obtener e inyectar módulo
financiero de Gozi ISFB como una DLL completada
navegador de la víctima infectada para permitir
inyecciones web en los sitios de banca en línea.
Ese DLL es de unos 150 KB y es un archivo
Portable ejecutable (PE) válido. Las versiones
más recientes de Nymaim incluyen código Gozi ISFB
alterado. En vez de los 150 KB DLL, ahora inyecta
un búfer de 40 KB en el navegador.
4
Nymaim GozNym Malware
Este búfer todavía realiza funciones de Gozi
ISFB. Por ejemplo, cuando se trata de tabla de
exportación de direcciones (EAT), que contiene
las direcciones de los módulos expuestos para el
consumo por otras aplicaciones y servicios,
GozNym utiliza el mismo motor de gancho para
realizar inyecciones web. Sin embargo, hay
algunas diferencias acentuadas. Por ejemplo, el
nuevo búfer no es un archivo PE válido, tiene más
de una estructura de de código shell. Se
construye su propia tabla de direcciones de
importación (IAT) y no tiene encabezados PE
comenta Mike Stevens profesional de empresa de
seguridad informática.
5
Nymaim GozNym Malware
Comenta Mike Stevens de empresa de seguridad
informática que otra diferencia es que el nuevo
búfer se entrelaza con el código de Nymaim.
Tenemos al menos dos ejemplos que demuestran
lainteroperabilidad uno es donde Gozi ISFB llama
código Nymaim para obtener cadenas la otra es
donde se necesita código de búfer de Gozi ISFB
para realizar acciones como asignaciones de
memoria. La fusión de Nymaim y partes de Gozi
ISFB ha dado lugar a un nuevo troyano bancario.
Este malware es tan sigiloso y persistente como
el Nymaim mientras que posee la capacidad de Gozi
ISFB troyano para manipular sesiones Web.
6
Nymaim GozNym Malware
Expertos de soluciones de IICS han estudiado el
malware GozNym y sus esquemas de ataque y puede
ayudar a los bancos y otras organizaciones
dirigidas aprender más acerca de esta amenaza de
alto riesgo. Para ayudar a detener amenazas como
GozNym, los bancos y los proveedores de servicios
pueden utilizar soluciones de detección de
malware y proteger los puntos finales de los
clientes con la solución inteligente que
proporciona información en tiempo real sobre las
técnicas y capacidades de estafadores, diseñada
para hacer frente a la incesante evolución del
panorama de amenazas, menciono Mike Stevens de
empresa de seguridad informática.
7
CONTACTO
www.webimprints.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420
• DUBAI
• 702, Smart Heights Tower, DubaiSixth Floor,
  Aggarwal Cyber Tower 1Netaji Subhash Place,
  Delhi NCR, 110034IndiaIndia Tel 91 11 4556
  6845