Le malware Nymaim décodé par Proofpoint

0
87

Bien que le malware Nymaim soit régulièrement apparu en Europe et dans des campagnes globales depuis 2013, il était jusqu’à présent peu documenté, et son origine ainsi que son modèle économique restaient flous pour la plupart des individus qui y étaient confrontés.

Aujourd’hui, Proofpoint propose un décodage de ce malware, pour mieux comprendre son fonctionnement, unique en son genre.

La configuration de Nymaim apparaît en effet singulière, puisqu’il s’agit d’un fichier de données compilé de type bytecode qui fonctionne dans son propre environnement de machine virtuelle au sein de Nymaim. Ce fichier possède sa propre logique, uniquement interprétable par Nymaim. Pour le décrypter, il est nécessaire de décompiler la configuration pour en faire un script lisible par l’humain.

Observé pour la première fois en 2013, Nymaim a été identifié à l’origine comme un logiciel malveillant de type downloaders puis un malware de verrouillage, distribué principalement via le kit d’exploitation Blackhole. Les utilisateurs découvraient qu’ils étaient victimes d’une cyberattaque lorsqu’au verrouillage de leur écran, des rançons leur étaient réclamées. Plus récemment, Nymaim est devenu un downloader encore plus robuste capable de vol d’informations et de profilage système de portée internationale.

Vous trouverez plus de détails sur ce décryptage de Nymain sur le blog de Proofpoint.