Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le malware Nymaim décodé par Proofpoint

mars 2019 par ProofPoint

Bien que le malware Nymaim soit régulièrement apparu en Europe et dans des campagnes globales depuis 2013, il était jusqu’à présent peu documenté, et son origine ainsi que son modèle économique restaient flous pour la plupart des individus qui y étaient confrontés. Aujourd’hui, Proofpoint propose un décodage de ce malware, pour mieux comprendre son fonctionnement, unique en son genre.

La configuration de Nymaim apparaît en effet singulière, puisqu’il s’agit d’un fichier de données compilé de type bytecode qui fonctionne dans son propre environnement de machine virtuelle au sein de Nymaim. Ce fichier possède sa propre logique, uniquement interprétable par Nymaim. Pour le décrypter, il est nécessaire de décompiler la configuration pour en faire un script lisible par l’humain.

Observé pour la première fois en 2013, Nymaim a été identifié à l’origine comme un logiciel malveillant de type downloaders puis un malware de verrouillage, distribué principalement via le kit d’exploitation Blackhole. Les utilisateurs découvraient qu’ils étaient victimes d’une cyberattaque lorsqu’au verrouillage de leur écran, des rançons leur étaient réclamées. Plus récemment, Nymaim est devenu un downloader encore plus robuste capable de vol d’informations et de profilage système de portée internationale.

Vous trouverez plus de détails sur le décryptage de Nymain sur le blog de Proofpoint.




Voir les articles précédents

    

Voir les articles suivants