Según Webimprints una empresa de pruebas de penetración, Nymaim es un dropper de malware de dos etapas. Normalmente se infiltra en computadoras a través de kits de explotación y luego se ejecuta la segunda etapa de su carga una vez que está en la máquina, efectivamente usando dos archivos ejecutables para el proceso de infección.

1. WEBIMPRINTS
Empresa de pruebas de penetración
Empresa de seguridad informática
http://www.webimprints.com/seguridad-informatica.html
Nymaim GozNym Malware

2. Nymaim GozNym Malware
Según Webimprints una empresa de pruebas de
penetración, Nymaim es un dropper de malware de
dos etapas. Normalmente se infiltra en computadoras
a través de kits de explotación y luego se ejecuta la
segunda etapa de su carga una vez que está en la
máquina, efectivamente usando dos archivos
ejecutables para el proceso de infección. Por sí solo, e
Nymaim troyano es un gotero sigiloso y persistente que
utiliza técnicas de evasión, como el cifrado, anti-VM,
anti-depuración y la ofuscación de control de flujo.

3. Según expertos de pruebas de penetración, A pesar
de que ha incursionado con otros troyanos bancarios
en el pasado, su primera conexión estrecha con
malware bancario comenzó en noviembre de 2015;
hasta entonces, Nymaim se utiliza casi
exclusivamente como un dropper de ransomware.
Las versiones anteriores de Nymaim utilizan para
obtener e inyectar módulo financiero de Gozi ISFB
como una DLL completada navegador de la víctima
infectada para permitir inyecciones web en los sitios
de banca en línea. Ese DLL es de unos 150 KB y es un
archivo Portable ejecutable (PE) válido. Las versiones
más recientes de Nymaim incluyen código Gozi ISFB
alterado. En vez de los 150 KB DLL, ahora inyecta un
búfer de 40 KB en el navegador.
Nymaim GozNym Malware

4. Este búfer todavía realiza funciones de Gozi ISFB.
Por ejemplo, cuando se trata de tabla de
exportación de direcciones (EAT), que contiene las
direcciones de los módulos expuestos para el
consumo por otras aplicaciones y servicios,
GozNym utiliza el mismo motor de gancho para
realizar inyecciones web. Sin embargo, hay algunas
diferencias acentuadas. Por ejemplo, el nuevo
búfer no es un archivo PE válido, tiene más de una
estructura de de código shell. Se construye su
propia tabla de direcciones de importación (IAT) y
no tiene encabezados PE comenta Mike Stevens
profesional de empresa de seguridad informática.
Nymaim GozNym Malware

5. Comenta Mike Stevens de empresa de seguridad
informática que otra diferencia es que el nuevo
búfer se entrelaza con el código de Nymaim.
Tenemos al menos dos ejemplos que demuestran
lainteroperabilidad: uno es donde Gozi ISFB llama
código Nymaim para obtener cadenas; la otra es
donde se necesita código de búfer de Gozi ISFB
para realizar acciones como asignaciones de
memoria. La fusión de Nymaim y partes de Gozi ISFB
ha dado lugar a un nuevo troyano bancario. Este
malware es tan sigiloso y persistente como el
Nymaim mientras que posee la capacidad de Gozi
ISFB troyano para manipular sesiones Web.
Nymaim GozNym Malware

6. Expertos de soluciones de IICS han estudiado el
malware GozNym y sus esquemas de ataque y
puede ayudar a los bancos y otras organizaciones
dirigidas aprender más acerca de esta amenaza
de alto riesgo. Para ayudar a detener amenazas
como GozNym, los bancos y los proveedores de
servicios pueden utilizar soluciones de detección
de malware y proteger los puntos finales de los
clientes con la solución inteligente que
proporciona información en tiempo real sobre las
técnicas y capacidades de estafadores, diseñada
para hacer frente a la incesante evolución del
panorama de amenazas, menciono Mike Stevens
de empresa de seguridad informática.
Nymaim GozNym Malware

7. CONTACTO www.webimprints.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845