Après avoir contaminé l’Europe et l’Amérique du Nord en 2013, le malware Nymaim refait surface 3 ans plus tard et se propage désormais via une campagne de spearphising intensive, en utilisant comme pièce jointe un document Microsoft Word infecté
En 2013, lors de la découverte de la souche originale de Nymaim notamment avec ses techniques de code modulaire (chaîne d’abattage et d’évasion), on avait remarqué que plus de 2,8 millions d’infections s’étaient propagées. Au premier semestre de 2016, ESET a de nouveau observé une augmentation significative de détections du malware Nymaim.
Infectant principalement la Pologne (54%), l’Allemagne (16%) et les Etats-Unis (12%), cette mutation du malware Nymaim a été détectée comme appartenant à la catégorie Win32/TrojanDownloader.Nymaim.BA. Elle utilise le spearphishing et une pièce jointe (type Word.doc) contenant une macro malveillante. Utilisée pour contourner les paramètres de sécurité par défaut de Microsoft Word via les techniques d’ingénierie sociale, l’approche est très dangereuse dans les versions anglaises de MS Word.
« Grâce à des techniques d’évasion sophistiquées, l’anti-VM, l’anti-débogage et les flux de contrôle, cette fusée à deux étages sert à livrer le ransomware comme charge utile finale. Ce code que l’on peut nommer « Trojan modulaire » est impressionnant par sa capacité à voler les informations d’authentification de sites de banque électroniques dans les formulaires typiques en contournant la protection SSL. Ce code malveillant a évolué afin de fournir des logiciels espions », explique Cassius de Oliveira Puodzius, Security Researcher chez ESET en Amérique Latine.
En avril 2016, la version précitée a été rejointe par une variante hybride de Nymaim (Gozi) qui avait pour cible les institutions financières d’Amérique du Nord, mais également d'Amérique latine et principalement du Brésil. Cette variante permet aux cybercriminels de contrôler à distance des ordinateurs infectés plutôt que de chiffrer les fichiers ou de bloquer la machine - comme c'est généralement le cas. En raison des similitudes entre les cibles visées dans chaque pays et les taux de détection, nous pouvons affirmer que les institutions financières restent au centre de cette campagne.
« L’étude complète de cette menace est toujours en cours. Toutefois, si vous pensez que votre ordinateur ou votre réseau a été compromis, nous vous recommandons de vérifier que les adresses IP et les URL que nous avons partagées dans l’article complet de WeLiveSecurity ne se trouvent pas dans votre pare-feu et dans le journal de votre proxy. Nous vous conseillons d'installer une stratégie de prévention en ajoutant une liste noire des des adresses IP contactées par ce malware au pare-feu et les URL à un proxy, aussi longtemps que votre réseau prendra en charge ce type de filtrage », conclut Cassius de Oliveira Puodzius.