Eine Malware-Variante, bekannt als Nemim, ist seit April im Umlauf und hat bereits Tausende Computer infiziert. Nemin gibt es schon seit mindestens 2006. Die aktuelle Variante beinhaltet Infizierungs-, Download- und Daten-Diebstahl-Komponenten. Es verbreitet sich durch Phishing-E-Mails und verwendet gestohlene digitale Zertifikate.

Nemin wird eingesetzt, um Anmeldedaten von Web-Browsern, E-Mail-Konten und anderen Anwendungen der User zu stehlen. Laut Satnam Narang, einem Internetsicherheits-Forscher der Firma Symantec, wären die aktuellsten Nemim-Versionen mit gestohlenen Zertifikaten digital gezeichnet.

Die Infizierungs-Komponente der Malware wird gezielt auf Microsoft-Anwender angesetzt und kompromittiert die „User Profile“-Ordner und -Unterordner der Opfer. Bevor sich Nemin jedoch auf die Computer herunterlädt, sammelt es zunächst spezielle Informationen des Computers, wie seinen Namen, die Version des Betriebssystems, lokale IP-Adressen und andere Details. Nach der Infizierung sammelt Nemin Konto-Informationen aus einer langen Liste von Anwendungen, unter anderem Internet Explorer, Firefox, Chrome, Outlook und Windows Mail.

Die meisten Nemin-Opfer sind überwiegend in den USA und Japan zu finden, aber auch in Indien und Großbritannien, so Symantec. Es sei noch nicht gelungen herauszufinden, wie die Angreifer vorgehen. Symantec glaubt jedoch, dass die Hintermänner von Nemin auch einen Daten-stehlenden Trojaner Namens Egobot entwickelt haben. Beide verfügen über eingebaute Timerfunktionen, die die Malware selbstständig wieder von Rechnern entfernen.

Artikel von scmagazine.com, 16.10.2013: Hackers compromise certs to spread Nemim malware, which hijacks email and browser data