nymaim goz nym malware
TRANSCRIPT
WEBIMPRINTS
Empresa de pruebas de penetración
Empresa de seguridad informáticahttp://www.webimprints.com/seguridad-informatica.html
Nymaim GozNym Malware
Nymaim GozNym MalwareSegún Webimprints una empresa de pruebas de penetración, Nymaim es un dropper de malware de dos etapas. Normalmente se infiltra en computadoras a través de kits de explotación y luego se ejecuta la segunda etapa de su carga una vez que está en la máquina, efectivamente usando dos archivos ejecutables para el proceso de infección. Por sí solo, el Nymaim troyano es un gotero sigiloso y persistente que utiliza técnicas de evasión, como el cifrado, anti-VM, anti-depuración y la ofuscación de control de flujo.
Según expertos de pruebas de penetración, A pesar de que ha incursionado con otros troyanos bancarios en el pasado, su primera conexión estrecha con malware bancario comenzó en noviembre de 2015; hasta entonces, Nymaim se utiliza casi exclusivamente como un dropper de ransomware. Las versiones anteriores de Nymaim utilizan para obtener e inyectar módulo financiero de Gozi ISFB como una DLL completada navegador de la víctima infectada para permitir inyecciones web en los sitios de banca en línea. Ese DLL es de unos 150 KB y es un archivo Portable ejecutable (PE) válido. Las versiones más recientes de Nymaim incluyen código Gozi ISFB alterado. En vez de los 150 KB DLL, ahora inyecta un búfer de 40 KB en el navegador.
Nymaim GozNym Malware
Este búfer todavía realiza funciones de Gozi ISFB. Por ejemplo, cuando se trata de tabla de exportación de direcciones (EAT), que contiene las direcciones de los módulos expuestos para el consumo por otras aplicaciones y servicios, GozNym utiliza el mismo motor de gancho para realizar inyecciones web. Sin embargo, hay algunas diferencias acentuadas. Por ejemplo, el nuevo búfer no es un archivo PE válido, tiene más de una estructura de de código shell. Se construye su propia tabla de direcciones de importación (IAT) y no tiene encabezados PE comenta Mike Stevens profesional de empresa de seguridad informática.
Nymaim GozNym Malware
Comenta Mike Stevens de empresa de seguridad informática que otra diferencia es que el nuevo búfer se entrelaza con el código de Nymaim. Tenemos al menos dos ejemplos que demuestran lainteroperabilidad: uno es donde Gozi ISFB llama código Nymaim para obtener cadenas; la otra es donde se necesita código de búfer de Gozi ISFB para realizar acciones como asignaciones de memoria. La fusión de Nymaim y partes de Gozi ISFB ha dado lugar a un nuevo troyano bancario. Este malware es tan sigiloso y persistente como el Nymaim mientras que posee la capacidad de Gozi ISFB troyano para manipular sesiones Web.
Nymaim GozNym Malware
Expertos de soluciones de IICS han estudiado el malware GozNym y sus esquemas de ataque y puede ayudar a los bancos y otras organizaciones dirigidas aprender más acerca de esta amenaza de alto riesgo. Para ayudar a detener amenazas como GozNym, los bancos y los proveedores de servicios pueden utilizar soluciones de detección de malware y proteger los puntos finales de los clientes con la solución inteligente que proporciona información en tiempo real sobre las técnicas y capacidades de estafadores, diseñada para hacer frente a la incesante evolución del panorama de amenazas, menciono Mike Stevens de empresa de seguridad informática.
Nymaim GozNym Malware
CONTACTO www.webimprints.com
538 Homero # 303Polanco, México D.F 11570
MéxicoMéxico Tel: (55) 9183-5420
DUBAI702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034
IndiaIndia Tel: +91 11 4556 6845