Heute zwei Sicherheitsthemen vereint. Die Verbreitung der Malware Nymaim, die Spionage betreibt, nimmt zu. Und der Ranscam-Erpressungs-Trojaner schickt die Benutzerdaten ins digitale Nirvana.
Anzeige
Nymaim Malware kehrt nach Europa zurück
Der europäische Security-Software-Hersteller ESET beobachtet derzeit einen Anstieg der Nymaim Malware. Diese trieb bereits 2013 ihr Unwesen und verursachte über 2,8 Millionen Infektionen. Im ersten Halbjahr 2016 konnten die ESET Forscher einen deutlichen Anstieg um 63 Prozent im Vergleich zum ersten Halbjahr 2015 verzeichnen. Besonders stark verbreitete sich die als Win32/TrojanDownloader.Nymaim.BA bekannte Malware in Polen (54 Prozent), Deutschland (16 Prozent) und den USA (12 Prozent).
Sollte sich die Verbreitung weiter im aktuellen Tempo fortsetzen, werden bereits im kommenden Monat mehr Nutzer infiziert sein als im gesamten Jahr 2015. Anders als 2013, als Nymaim noch als Drive-by-Download über verseuchte Webseiten gestreut hat, verbreitet sich die Malware nun über Phishing-Emails. Der betrügerische Anhang tarnt sich als Word-Dokument. Sobald dieses geöffnet wird, entpackt sich das infizierte Skript.
Spionage statt Payload
Die Malware nutzt in der aktuellen Version eine hochentwickelte Verschleierungstechnik, Anti-VM, Anti-Debugging und Kontrollflussanalyse. Der Schädling wurde ursprünglich dazu verwendet, Ransomware und damit verbunden die Payload zu übertragen. Nur wird Nymaim zur Verbreitung von Spionagesoftware genutzt, so Cassius de Oliveira Puodzius, Security Researcher bei ESET Lateinamerika. Aufgrund der Ähnlichkeiten zwischen den Fällen in Ländern mit hoher und niedriger Erkennungsrate scheinen die aktuellen Angriffe insbesondere auf Finanzinstitute abzuzielen. Wie die ESET Forscher weiter feststellten, steht Brasilien ganz oben auf der Opferliste von Nymaim.
Anzeige
Hybridvariante nimmt Finanzinstitute in Nordamerika ins Visier
Im April 2016 wurde zudem eine Hybridvariante von Nymain und dem E-Banking Trojaner Gozi entdeckt, welche es gezielt auf Finanzinstitute in Nord- und Lateinamerika abgesehen hat. Die Angreifer erhalten dabei Zugriff über den infizierten Computer, verzichten dabei aber auf die Verschlüsselung von Dateien oder einer Zahlung von Lösegeld. Mehr Informationen zu Nymaim finden sich im deutschen ESET Blog WeLiveSecurity.
Ranscam-Trojaner befördert Daten ins digitale Nirvana
Und es gibt noch eine Warnung: Wer vom Ranscam-Trojaner befallen wird, der kann seine Daten abschreiben. Sicherheitsforscher von Talos beschreiben die Ransomware in einem Blog-Beitrag.
(Quelle: Talos)
Auf einem befallenen System kommt zwar die obige Meldung, die Bitcoins als Lösegeld fordert und behauptet, dass die Daten auf einer versteckten und verschlüsselten Partition abgelegt seien. Beim Befall der Systeme werden die Daten, die der Trojaner erreichen kann, aber unwiederbringlich gelöscht. Also: Auch wer zahlt, ist der Dumme. Daher: Immer auf ein Backup achten und dieses offline halten, um im Fall der Fälle seine Daten wiederherstellen zu können. Weitere Details lassen sich im Talog-Blog oder in diesem heise.de-Artikel nachlesen.
Anzeige
Ich habe am Samstag eine Phishing Mail von "Amazon.com" erhalten. Ich wollte die gerne an sie senden aber ich weiß nicht genau wie ich die senden soll und ob sie die haben möchten? Die Anonymität müßte auch gewährleistet sein.
Ich habe auch so eine Email bekommen und hab die zip geöffnet und innerhalb der zip war noch ne zip die sich nicht entpacken lies bin ich jetzt infiziert?? Denke nicht oder?? Übers reine öffnen einer zip oder entpacken kann man sich soweit ich weis nicht infizieren nur wenn man irgend eine exe oder script sache ausführt die innerhalb der zip ist oder nicht??
'Übers reine öffnen einer zip oder entpacken kann man sich soweit ich weis nicht infizieren' -> man soll die Hoffnung nicht aufgeben
aber im Blog hatte ich Fälle, wo Schwachstellen in den ZIP-Bibliotheken dazu führten, dass das reine Scannen und Öffnen der ZIP-Archive zur Distribution von Malware genutzt werden konnte. Dürfte zwar im aktuellen Fall unwahrscheinlich sein, dass das Entpacken zu einer Infektion führte. Aber ich möchte das Thema nur mal erwähnt gehabt haben …
Ein Ransomware der Geld fordert aber trotzdem alles verloren ist?
Sowas ist Merkwürdig und in der Scene glaube ich kaum üblich. Das würde ja das Vertrauen in die Rettungsmöglichkeit unterhöhlen, so dass die Leute erst gar nicht bezahlen. Sowas macht keinen Sinn.
Ich glaube daher nicht dass dieser Trojaner von einem normalen Hacker fabriziert wurde, das könnte vielmehr von einem Geheimdienst stammen, damit die Leute das Vertrauen in solche Verschlüsselungs -Trojaner Methode verlieren und den Gaunern das bis jetzt sicher geglaubte Einkommen abhanden geht.