Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim взял на вооружение новую функцию. Теперь, для того, чтобы проверить, работает ли он в виртуальной среде, вредонос сравнивает MAC-адреса. Об этом предупреждают исследователи в области безопасности SophosLabs.

Этот троян часто используется для загрузки дополнительных вредоносных программ на зараженные компьютеры, также он был замечен в нескольких кампаниях по распространению вымогателей. Теперь же вредонос сравнивает MAC-адрес зараженного им устройства со своим закодированным список, что позволяет ему избежать виртуальных сред и сорвать инструменты анализа.

Исследователь Sandor Nemes из SophosLabs объясняет, что новый функционал Nymaim помогает ему избежать антивирусных песочниц. Такое поведение трояна наблюдалось в образцах, используемых в кампании, ориентированной в основном на немецких пользователей.

Nymaim был обнаруженв 2013 году и представляет собой даунлоадер (downloader). Недавно он объединился с банковским трояном Gozi, так возникло новое семейство вредоносных программ под названием GozNym. Однако первоначальная версия Nymaim все еще продолжает использоваться в качестве загрузчика различных других угроз.

Недавно обнаруженные образцы имеют жестко прописанную дату окончания срока действия, по истечению которой угроза перестает работать должным образом. Троян отличается наличием различных уловок, например, чтобы пользователь запустил его, зловред выводит сообщение с надписью «Невозможно открыть PDF в браузере» (Cannot view a PDF in a web browser), затем загружает графическую библиотеку DirectDraw и безуспешно пытаться загрузить несуществующий DLL-файл.

Также было замечено, что Nymaim вычисляет хэш каждого файла в папке C:\Windows и сверяет его с черным списком хэшей, кроме этого, он запрашивает версию BIOS и проверяет реестр Windows, содержатся ли в нем записи "VBOX" или "VirtualBox". Чтобы извлечь MAC-адрес, Nymaim вызывает UuidCreateSequential API, который генерирует универсальный уникальный идентификатор (UUID), используя текущее время и MAC-адрес сетевой карты. Таким образом, вредоносная программа может сравнить первые три байта MAC-адреса со своим списком, чтобы определить, работает ли она в виртуальной среде.

Nymaim также использует исполняемые файлы с расширением .com, предположительно, это делается для обхода детекта антивирусными программами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Петербургскую пенсионерку обманули от имени немецкого тенора

В Санкт-Петербурге в полицию обратилась 69-летняя жительница города, ставшая жертвой мошенничества. Неизвестный, представившийся немецким оперным певцом Йонасом Кауфманом, убедил её заплатить почти 200 тыс. рублей якобы за «таможенную пошлину» при получении крупного денежного перевода.

О данном инциденте написала «Фонтанка». Злоумышленник сообщил женщине, что перевёл ей 400 тыс. евро, однако для получения этих средств необходимо оплатить около 200 тыс. рублей пошлины. Это требование пенсионерка выполнила.

После этого мошенники перестали выходить на связь. Спустя четыре дня женщина поняла, что её обманули, и обратилась в полицию. Уголовное дело пока не возбуждено.

Подобные схемы нередко применяют аферисты на сервисах онлайн-знакомств. Традиционная легенда заключается в выманивании денег на разные «неотложные нужды». В последний год мошенники активно начали использовать дипфейки, а пик их активности приходится на гендерные праздники.

Постепенно меняются и сами схемы. Так, нынешним летом распространение получило вовлечение жертв в криптоскам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru