WEBIMPRINTS

Empresa de pruebas de penetracin

Empresa de seguridad informtica
http://www.webimprints.com/seguridad-informatica.html

Nymaim GozNym Malware

Nymaim GozNym Malware

Segn Webimprints una empresa de pruebas de

penetracin, Nymaim es un dropper de malware de
dos etapas. Normalmente se infiltra en computadoras
a travs de kits de explotacin y luego se ejecuta la
segunda etapa de su carga una vez que est en la
mquina, efectivamente usando dos archivos
ejecutables para el proceso de infeccin. Por s solo, e
Nymaim troyano es un gotero sigiloso y persistente que
utiliza tcnicas de evasin, como el cifrado, anti-VM,
anti-depuracin y la ofuscacin de control de flujo.

Nymaim GozNym Malware

Segn expertos de pruebas de penetracin, A pesar
de que ha incursionado con otros troyanos bancarios
en el pasado, su primera conexin estrecha con
malware bancario comenz en noviembre de 2015;
hasta entonces, Nymaim se utiliza casi
exclusivamente como un dropper de ransomware.
Las versiones anteriores de Nymaim utilizan para
obtener e inyectar mdulo financiero de Gozi ISFB
como una DLL completada navegador de la vctima
infectada para permitir inyecciones web en los sitios
de banca en lnea. Ese DLL es de unos 150 KB y es un
archivo Portable ejecutable (PE) vlido. Las versiones
ms recientes de Nymaim incluyen cdigo Gozi ISFB
alterado. En vez de los 150 KB DLL, ahora inyecta un
bfer de 40 KB en el navegador.

Nymaim GozNym Malware

Este bfer todava realiza funciones de Gozi ISFB.

Por ejemplo, cuando se trata de tabla de
exportacin de direcciones (EAT), que contiene las
direcciones de los mdulos expuestos para el
consumo por otras aplicaciones y servicios,
GozNym utiliza el mismo motor de gancho para
realizar inyecciones web. Sin embargo, hay
algunas diferencias acentuadas. Por ejemplo, el
nuevo bfer no es un archivo PE vlido, tiene ms
de una estructura de de cdigo shell. Se construye
su propia tabla de direcciones de importacin (IAT)
y no tiene encabezados PE comenta Mike Stevens
profesional de empresa de seguridad informtica.

Nymaim GozNym Malware

Comenta Mike Stevens de empresa de seguridad

informtica que otra diferencia es que el nuevo
bfer se entrelaza con el cdigo de Nymaim.
Tenemos al menos dos ejemplos que demuestran
lainteroperabilidad: uno es donde Gozi ISFB llama
cdigo Nymaim para obtener cadenas; la otra es
donde se necesita cdigo de bfer de Gozi ISFB
para realizar acciones como asignaciones de
memoria. La fusin de Nymaim y partes de Gozi ISFB
ha dado lugar a un nuevo troyano bancario. Este
malware es tan sigiloso y persistente como el
Nymaim mientras que posee la capacidad de Gozi
ISFB troyano para manipular sesiones Web.

Nymaim GozNym Malware

Expertos de soluciones de IICS han estudiado el
malware GozNym y sus esquemas de ataque y
puede ayudar a los bancos y otras organizaciones
dirigidas aprender ms acerca de esta amenaza
de alto riesgo. Para ayudar a detener amenazas
como GozNym, los bancos y los proveedores de
servicios pueden utilizar soluciones de deteccin
de malware y proteger los puntos finales de los
clientes con la solucin inteligente que
proporciona informacin en tiempo real sobre las
tcnicas y capacidades de estafadores, diseada
para hacer frente a la incesante evolucin del
panorama de amenazas, menciono Mike Stevens
de empresa de seguridad informtica.

CONTACTO

w w w.w ebi mpr in ts. com

538 Homero # 303

Polanco, Mxico D.F 11570
Mxico
Mxico Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845