Quando fu rilevato per la prima, volta nel 2013, Nymaim, diffuso principalmente attraverso l’exploit kit Blackhole, venne catalogato sia come downloader di primo livello che come locking malware di secondo. Molti utenti hanno scoperto di esserne stati colpiti perché il blocca schermo richiedeva riscatti. Nel 2016, Proofpoint ha documentato la distribuzione del Trojan bancario Ursnif tramite campagne email e la presenza di moduli webinject all’interno dello stesso Nymaim.
Recentemente, il codice si è evoluto in un downloader più robusto che include una gamma di funzioni per il furto di informazioni e la profilazione del sistema. Questa versione è apparsa sia in campagne a livello mondiale che in attacchi mirati rivolti a Nord America, Germania, Italia e Polonia. A questo proposito, Nymaim segue le tendenze globali del malware, con un focus sulle infezioni persistenti e non distruttive per raccogliere informazioni a lungo termine e scaricare in modo flessibile ulteriore malware scelto dall’autore.
Nonostante la sua lunga storia e l’ampliarsi della sua diffusione via email, restano molti aspetti di Nymaim non ancora ben chiari, tra cui la sua ideazione e la disponibilità da parte di gruppi di criminali. Il formato e l’interazione di configurazione con una virtual machine eseguita all’interno del malware appaiono peculiari. Sebbene CERT.pl abbia già descritto gli algoritmi di cifratura della configurazione, esempi recenti ora fanno uso di un linguaggio bytecode con logica propria che viene interpretato dal malware attivo in una macchina virtuale gestita da Nymaim.
