Nymaim GozNym Malware

Views:
 
     
 

Presentation Description

Según Webimprints una empresa de pruebas de penetración, Nymaim es un dropper de malware de dos etapas. Normalmente se infiltra en computadoras a través de kits de explotación y luego se ejecuta la segunda etapa de su carga una vez que está en la máquina, efectivamente usando dos archivos ejecutables para el proceso de infección.

Comments

Presentation Transcript

Slide1:

WEBIMPRINTS Empresa de pruebas de penetración Empresa de seguridad informática http://www.webimprints.com/seguridad-informatica.html Nymaim GozNym Malware

Slide2:

Nymaim GozNym Malware Según Webimprints una empresa de pruebas de penetración, Nymaim es un dropper de malware de dos etapas. Normalmente se infiltra en computadoras a través de kits de explotación y luego se ejecuta la segunda etapa de su carga una vez que está en la máquina, efectivamente usando dos archivos ejecutables para el proceso de infección. Por sí solo, el Nymaim troyano es un gotero sigiloso y persistente que utiliza técnicas de evasión, como el cifrado, anti-VM, anti-depuración y la ofuscación de control de flujo.

Slide3:

Según expertos de pruebas de penetración , A pesar de que ha incursionado con otros troyanos bancarios en el pasado, su primera conexión estrecha con malware bancario comenzó en noviembre de 2015; hasta entonces, Nymaim se utiliza casi exclusivamente como un dropper de ransomware. Las versiones anteriores de Nymaim utilizan para obtener e inyectar módulo financiero de Gozi ISFB como una DLL completada navegador de la víctima infectada para permitir inyecciones web en los sitios de banca en línea. Ese DLL es de unos 150 KB y es un archivo Portable ejecutable (PE) válido. Las versiones más recientes de Nymaim incluyen código Gozi ISFB alterado. En vez de los 150 KB DLL, ahora inyecta un búfer de 40 KB en el navegador. Nymaim GozNym Malware

Slide4:

Este búfer todavía realiza funciones de Gozi ISFB. Por ejemplo, cuando se trata de tabla de exportación de direcciones (EAT), que contiene las direcciones de los módulos expuestos para el consumo por otras aplicaciones y servicios, GozNym utiliza el mismo motor de gancho para realizar inyecciones web. Sin embargo, hay algunas diferencias acentuadas. Por ejemplo, el nuevo búfer no es un archivo PE válido, tiene más de una estructura de de código shell. Se construye su propia tabla de direcciones de importación (IAT) y no tiene encabezados PE comenta Mike Stevens profesional de empresa de seguridad informática. Nymaim GozNym Malware

Slide5:

Comenta Mike Stevens de empresa de seguridad informática que otra diferencia es que el nuevo búfer se entrelaza con el código de Nymaim. Tenemos al menos dos ejemplos que demuestran lainteroperabilidad: uno es donde Gozi ISFB llama código Nymaim para obtener cadenas; la otra es donde se necesita código de búfer de Gozi ISFB para realizar acciones como asignaciones de memoria. La fusión de Nymaim y partes de Gozi ISFB ha dado lugar a un nuevo troyano bancario. Este malware es tan sigiloso y persistente como el Nymaim mientras que posee la capacidad de Gozi ISFB troyano para manipular sesiones Web. Nymaim GozNym Malware

Slide6:

Expertos de soluciones de IICS han estudiado el malware GozNym y sus esquemas de ataque y puede ayudar a los bancos y otras organizaciones dirigidas aprender más acerca de esta amenaza de alto riesgo. Para ayudar a detener amenazas como GozNym, los bancos y los proveedores de servicios pueden utilizar soluciones de detección de malware y proteger los puntos finales de los clientes con la solución inteligente que proporciona información en tiempo real sobre las técnicas y capacidades de estafadores, diseñada para hacer frente a la incesante evolución del panorama de amenazas, menciono Mike Stevens de empresa de seguridad informática . Nymaim GozNym Malware

Slide7:

CONTACTO www.webimprints.com 538 Homero # 303 Polanco, México D.F 11570  México México Tel: (55) 9183-5420 DUBAI 702, Smart Heights Tower, Dubai Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845 

authorStream Live Help