Phishing z bankerem Nymaim

Trojan bankowy (czyli wyspecjalizowany w wykradaniu danych autoryzacyjnych do serwisów bankowości elektronicznej) Nymaim to ostatnio jeden z popularniejszych „ładunków” trafiających do nas maili phishingowych. Kolejna kampania to klasyczny już socjotechniczny numer na „zaległą fakturę”. Nadawca używa adresu w domenie @orange.pl (niezmiennie przypominamy, iż nasze faktury przychodzą wyłącznie z domeny @pl.orange.com).

Po otwarciu załączonego pliku XLS musimy zaakceptować włączenie makr (aż dziw, że po tylu latach wykorzystywania tego sposobu wciąż jeszcze ktoś się na to łapie), by w następnym kroku zagnieżdżony w excelowym pliku dropper ściągnął z adresu hxxp://farvictor.co/hqt plik exe, zapisując go na… pulpicie infekowanego komputera.

Następnie malware wstrzykuje się do C:Program Files (x86)Windows Media PlayerWMPDMC.exe oraz Wmplayer.exe oraz dopisuje swój klucz w rejestrze Windows (HKEY_CURRENT_USERSoftwareMicrosoftBZUIqzbo). Na koniec następuje komunikacja znana już z poprzednich kampanii z Nymaimem – w nagłówku HOST pojawiają się domeny zepter.com i carfax.com, zaś faktyczne połączenia kierowane są pod adresy: 84.54.187.24, 176.223.180.238, 62.231.108.213, 92.81.118.230, 86.122.123.246, 85.105.167.110, 49.61.8.103.

Jak się zapewne domyślacie – klientów usług Orange Polska przed aktywnością przestępców chroni CyberTarcza. Ale nie przed infekcją – jeśli więc nie jesteście pewni, czy w którymś momencie nie zgubiła Was niefrasobliwość, warto sprawdzić swoją sieć.