Crescem ataques do malware Nymain a instituições financeiras do Brasil

Publicado: 14/07/2016 às 13:20

Leitura 2 minutos

A fornecedora de soluções de segurança Eset detectou que a família do malware conhecido como Nymaim teve aumento considerável de ataques nos últimos meses de 2016, superando 63% de detecções reportadas em todo o mundo. Entre os países-alvo está o Brasil, onde ataques direcionados foram detectados focando instituições financeiras.

As melhores notícias de tecnologia B2B

Acompanhe todas as novidades diretamente na sua caixa de entrada

Um diferencial do malware, que foi descoberto em 2013 e já afetou mais de 2,8 milhões de vítimas, é que a nova versão do Nymaim parece ter sido desenhada, especificamente, para atacar vítimas pré-selecionadas. A modalidade de ataque utilizada pelos cibercriminosos é conhecida como spear phishing, a qual foca em um grupo ou organização específicos com a intenção de roubar dados financeiros.

Uma forma utilizada pelos cibercriminosos para evitar que o código malicioso fosse detectado pelas soluções de antivírus foi criar uma nova variante do malware, detectado pela Eset como Nymaim.BA.

Na prática, um e-mail com um arquivo malicioso é enviado para a vítima. Ao abrir o documento, uma macro maliciosa – sequência de caracteres – executa o malware e infecta o equipamento, burlando as configurações de segurança padrão do software.

Uma das táticas usadas pelos cibercriminosos para enganar as vítimas e aplicar o golpe é configurar o texto do arquivo anexo como um bloco de caracteres ilegível, instigando a vítima a executar a macro, que na verdade é maliciosa, para decodificar o texto. Além disso, na parte superior do documento a mensagem “Habilitar conteúdo para executar em modo de compatibilidade”, aviso que segue o mesmo padrão utilizado nas versões mais recentes do Microsoft Word, solicita que os usuários permitam que as macros do atual documento sejam ativadas.

Ao final, após o usuário habilitar o recurso, tem início uma ação em cadeia. A macro maliciosa – detectada pela Eset como VBA/TrojanDownloader.Agent.BCX-, realiza o download do malware Nymain, salvando-o em um novo arquivo executável na pasta de arquivos temporários (%temp%). Na sequência, é realizado o download de mais um malware usado para dar acesso remoto aos cibercriminosos ao computador da vítima.