A ESET detectou que a família do malware conhecido como Nymaim teve um aumento considerável de ataques nos últimos meses de 2016, superando os 63% de detecções reportadas em todo o mundo. Entre os países alvo está o Brasil, onde ataques direcionados foram detectados focando instituições financeiras.
Um diferencial do malware, que foi descoberto em 2013 e já afetou mais de 2,8 milhões de vítimas, é que a nova versão do Nymaim parece ter sido desenhada, especificamente, para atacar vítimas pré-selecionadas. A modalidade de ataque utilizada pelos cibercriminosos é conhecida como spear phishing, a qual foca em um grupo ou organização específicos com a intenção de roubar dados financeiros. Uma forma utilizada pelos cibercriminosos para evitar que o código malicioso fosse detectado pelas soluções de antivírus foi criar uma nova variante do malware, detectado pela ESET como Nymaim.BA.
Na prática, um e-mail com um arquivo malicioso é enviado para a vítima. Ao abrir o documento, uma macro maliciosa – sequência de caracteres – executa o malware e infecta o equipamento, burlando as configurações de segurança padrão do software.
Uma das táticas usadas pelos cibercriminosos para enganar as vítimas e aplicar o golpe é configurar o texto do arquivo anexo como um bloco de caracteres ilegível, instigando a vítima a executar a macro, que na verdade é maliciosa, para decodificar o texto. Além disso, na parte superior do documento a mensagem “Habilitar conteúdo para executar em modo de compatibilidade”, aviso que segue o mesmo padrão utilizado nas versões mais recentes do Microsoft Word, solicita que os usuários permitam que as macros do atual documento sejam ativadas.
Ao final, após o usuário habilitar o recurso, tem início uma ação em cadeia. A macro maliciosa – detectada pela ESET como VBA/TrojanDownloader.Agent.BCX-, realiza o download do malware Nymain, salvando-o em um novo arquivo executável na pasta de arquivos temporarios (%temp%). Na sequência, é realizado o download de mais um malware usado para dar acesso remoto aos cibercriminosos ao computador da vítima.
“Apesar da quantidade de ataques do malware registrados no Brasil ser menor que no restante do mundo, com 0,7% dos incidentes, o país também está no alvo dos cibercriminosos responsáveis por essa nova variante do Nymaim”, afirma Camillo Di Jorge, Presidente da ESET Brasil. “Os cibercriminosos costumam agir de forma cíclica e esse caso é um exemplo disso, porém com alguns diferenciais, que incluem alterações no código e o ataque dirigido a um grupo especifico do sistema financeiro. Por esse motivo, é imprescindível que os usuários tenham consciência sobre os cuidados para evitar cair em golpes como esse, além de usar uma solução de segurança proativa”, reforça.
