Ερευνητές ασφάλειας της Symantec έχουν εντοπίσει μια εκτεταμένη εκστρατεία του κυβερνοχώρου που χρησιμοποιεί το εξελιγμένο Trojan Infostealer.Nemim.
To trojan χρησιμοποιείται για την υποκλοπή στοιχείων πρόσβασης λογαριασμών για εφαρμογές όπως Outlook, Windows Mail, Gmail Notifier, Google Talk, MSN Messenger, Google Desktop, Internet Explorer, Firefox και Chrome.
Οι κύριοι στόχοι του Infostealer εντοπίζονται στις Ηνωμένες Πολιτείες και την Ιαπωνία. Ωστόσο, μολύνσεις έχουν εντοπιστεί και στην Ινδία και το Ηνωμένο Βασίλειο.
Η απειλή έχει τρεις συνιστώσες: ένα infector, ένα downloader και ένα information stealer. Η λειτουργία του infector δεν είναι περίπλοκη, απλά αποκρυπτογραφεί και τρέχει ένα ενσωματωμένο αρχείο που αντιπροσωπεύει το στοιχείο του Downloader.
To Downloader λειτουργεί επίσης ως wrapper για ένα κρυπτογραφημένο εκτελέσιμο αρχείο, το οποίο φορτώνεται δυναμικά αφού έχει αποκρυπτογραφηθεί. Αυτό το εκτελέσιμο αρχείο είναι υπεύθυνο για την ανάκτηση του στοιχείου Information stealer.
Ωστόσο, πρωτού το στοιχείο ανακτηθεί, μεγάλος αριθμός πληροφοριών συλλέγονται από το μολυσμένο υπολογιστή, όπως το όνομα του PC, το όνομα χρήστη, το όνομα της CPU, η έκδοση του λειτουργικού συστήματος, ο αριθμός των συσκευών USB η διεύθυνση IP και η διεύθυνση MAC. Οι πληροφορίες κρυπτογραφούνται και αποστέλλονται στο διακομιστή διαχείρισης και ελέγχου (C & C Server).
Οι ερευνητές πιστεύουν ότι πίσω από το Trojan Infostealer.Nemim, βρίσκεται η ίδια εγκληματική ομάδα που στοχοποιεί φορείς της Νότιας Κορέας με τη βοήθεια του Trojan Εgobot, από το 2009.
Οι ερευνητές έχουν εντοπίσει αρκετές ομοιότητες μεταξύ των Egobot και Nemim, όπως την τεχνική code injection που αυτά χρησιμοποιούν, τη μορφή επικοινωνίας με το C & C, την κρυπτογράφηση, και τον τρόπο με τον οποίο συλλέγονται οι πληροφορίες.
