Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim взял на вооружение новую функцию. Теперь, для того, чтобы проверить, работает ли он в виртуальной среде, вредонос сравнивает MAC-адреса. Об этом предупреждают исследователи в области безопасности SophosLabs.

Этот троян часто используется для загрузки дополнительных вредоносных программ на зараженные компьютеры, также он был замечен в нескольких кампаниях по распространению вымогателей. Теперь же вредонос сравнивает MAC-адрес зараженного им устройства со своим закодированным список, что позволяет ему избежать виртуальных сред и сорвать инструменты анализа.

Исследователь Sandor Nemes из SophosLabs объясняет, что новый функционал Nymaim помогает ему избежать антивирусных песочниц. Такое поведение трояна наблюдалось в образцах, используемых в кампании, ориентированной в основном на немецких пользователей.

Nymaim был обнаруженв 2013 году и представляет собой даунлоадер (downloader). Недавно он объединился с банковским трояном Gozi, так возникло новое семейство вредоносных программ под названием GozNym. Однако первоначальная версия Nymaim все еще продолжает использоваться в качестве загрузчика различных других угроз.

Недавно обнаруженные образцы имеют жестко прописанную дату окончания срока действия, по истечению которой угроза перестает работать должным образом. Троян отличается наличием различных уловок, например, чтобы пользователь запустил его, зловред выводит сообщение с надписью «Невозможно открыть PDF в браузере» (Cannot view a PDF in a web browser), затем загружает графическую библиотеку DirectDraw и безуспешно пытаться загрузить несуществующий DLL-файл.

Также было замечено, что Nymaim вычисляет хэш каждого файла в папке C:\Windows и сверяет его с черным списком хэшей, кроме этого, он запрашивает версию BIOS и проверяет реестр Windows, содержатся ли в нем записи "VBOX" или "VirtualBox". Чтобы извлечь MAC-адрес, Nymaim вызывает UuidCreateSequential API, который генерирует универсальный уникальный идентификатор (UUID), используя текущее время и MAC-адрес сетевой карты. Таким образом, вредоносная программа может сравнить первые три байта MAC-адреса со своим списком, чтобы определить, работает ли она в виртуальной среде.

Nymaim также использует исполняемые файлы с расширением .com, предположительно, это делается для обхода детекта антивирусными программами.

Не просто сканер, а разбор находок: SASTAV вынесли в формат ИБ-сервиса

ShiftLeft Security, разработчик платформы анализа защищённости исходного кода SASTAV, объявила о партнёрстве с провайдерами управляемых сервисов ИБ, включая системного интегратора УЦСБ. Теперь заказчики смогут передавать проверку кода и валидацию уязвимостей внешним экспертным командам.

Модель рассчитана на одну из частых проблем при работе с SAST-инструментами — большое количество ложноположительных срабатываний.

Вместо того чтобы отдавать заказчику сырой поток предупреждений, сервис предполагает полный цикл проверки: код загружается в защищённый контур платформы, проходит автоматизированный анализ небезопасных паттернов, зависимостей и конфигураций, а затем результаты дополнительно проверяют эксперты.

На выходе компания получает не просто список технических алертов, а подтверждённые уязвимости с приоритизацией, описанием возможного влияния на бизнес и рекомендациями по исправлению. Это должно снизить нагрузку на внутренние ИБ-команды и разработчиков, которым обычно приходится тратить время на разбор нерелевантных находок.

SASTAV может анализировать разные части приложения: бэкенд-сервисы, frontend, API-контуры и инфраструктурные манифесты. При оценке учитываются архитектура и бизнес-логика конкретного проекта, а критичность находок ранжируется с учётом вероятности эксплуатации.

Услуга будет доступна в двух форматах: как разовый аудит перед релизом, сертификацией или внешней проверкой, а также как регулярный сервис с согласованной периодичностью. В рамках подписки или отдельного контракта можно провести повторную проверку, чтобы подтвердить устранение найденных проблем.

Границы работ, технологический стек и объём проверяемого кода фиксируются в техническом задании. Такой формат позволяет компаниям получать внешнюю оценку защищённости разработки без необходимости полностью переносить эту нагрузку на собственные ИБ-ресурсы.

RSS: Новости на портале Anti-Malware.ru