Nymaim in der Schweiz wieder aktiv

Der Trojaner und Cryptolocker bekannt unter dem Namen Nymaim oder Mantsu, den viele wohl eine Zeit lang als Zahlungsaufforderung vom FBI und Interpol wegen angeblichem Konsum von Kinder- und anderer Pornografie gesehen haben, scheint nun vermehrt in einer neuen Version aufzutauchen:

Wir beobachten Nymaim nun bereits seit einiger Zeit, weshalb uns die von Ihnen genannte IP Adressen bereits bekannt sind. Wir können Ihnen bestätigen, dass es sich dabei um Nymaim Botnetz Command&Control Server handelt.
(GovCERT.ch)

Infektion

Das Vorgehen von Nymaim an sich scheint gleich geblieben zu sein. Per Drive-by von gehackten Websites wird per Blackhole Exploit Kit ein passender Exploit geladen und ein Loader installiert, welcher dann den eigentlichen Trojaner nachlädt und ausführt. Darauf hin werden im Hintergrund einerseits Daten abgezogen, Files per RSA verschlüsselt und die bekannte Warnung aufgeschaltet.

Prozesse

Auf einem lokalen Client taucht der Virus durch aktive TCP-Verbindungen zu seinen C&Cs durch den Prozess explorer.exe und svchost.exe auf. Der Loader selbst läuft als smoke_keep.exe und mail_tackle.exe, welche kurz nach dem Nachladen des Trojaners auf dem System terminieren.
Während in dieser Version der Loader wohl aktualisiert wurde, scheint der Trojaner immer noch derselbe zu sein und wird dadurch von den meisten AV-Lösungen verlässlich erkannt und blockiert.

Kommunikation

Kommunikation gibt es bereits bevor der eigentliche Trojaner geladen und ausgeführt wird, da der Loader bereits beim C&C nachfragt, welche Malware und vorallem welche Version er genau nachziehen soll. Diese Kommunikation erfolgt über einfache HTTP-Pakete auf Port 80 nach folgendem Muster:

http://URL.com/rss.php?VAR=ENCRYPTED_STRING&VAR=ENCRYPTED_STRING
http://URL.com/im.php?VAR=ENCRYPTED_STRING&VAR=ENCRYPTED_STRING

Dabei gibt es die URL’s wahlweise jeweils mit einer bis drei Variablen und die verschlüsselten Strings in unterschiedlicher Länge. Laut Analyse von Checkpoint wird hier eine RSA-Verschlüsselung mit Base64-Kodierung kombiniert.

Tracker

Da bei meiner Analyse eine kleine Liste an C&C Server entstanden ist, habe ich kurzerhand alles in einen Tracker gepackt, damit auch andere davon profitieren können:

printscreen001

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.