Информационные технологииТехнологииПоиск

Гибридный банковский троян GozNym атакует известные мировые бренды

Операторы трояна используют новые техники, пока еще далекие от совершенства.




Исследователи компании buguroo Threat Intelligence Labs опубликовали доклад, посвященный деятельности гибридного банковского трояна GozNym, сочетающего в себе функционал известных вредоносов Gozi и Nymaim. Троян GozNym уже был замечен в ряде различных кампаний, направленных на пользователей в США и Канаде, а затем распространившихся на Европу.


Эксперты buguroo зафиксировали новый виток атак с использованием GozNym, в основном направленных на банки и финансовые сервисы в Испании, Польше и Японии и в ряде случаев – на пользователей из Канады, Италии и Австралии. По данным исследователей, операторы трояна используют новые техники, пока еще далекие от совершенства.


К примеру, в Испании вредоносное ПО распространяется через вредоносные ссылки, ведущие на скомпрометированные сайты под управлением WordPress. Согласно экспертам, число жертв в этой стране значительно ниже по сравнению с показателями Польши и Японии. На момент проведения исследования серверы, использовавшиеся для распространения и управления вредоносом, были неактивны или отключены. В числе пострадавших от действий GozNym оказались известные финансовые группы и платежные системы, в частности PayPal, CitiDirect BE, ING Bank, Société Générale, BNP Paribas, Bank of Tokyo и пр.


Как показал анализ, GozNym продолжает эволюционировать. Сейчас троян использует сложную технику динамической web-инъекции, позволяющей избежать обнаружения. Кроме того, каждый раз после обнаружения атаки операторы вредоноса модифицируют его код, что позволяет обойти защиту, установленную целевой организацией и осуществить повторную атаку.


Когда жертва пытается провести транзакцию, троян немедленно отсылает соответствующее сообщение на C&C-сервер злоумышленников. В ответ сервер отправляет пользователю фальшивое предупреждение о необходимости ввода ключа для завершения транзакции. Жертва вводит необходимые данные и таким образом отправляет средства на счет так называемого «мула». 


По данным исследователей, некоторые пользователи привязываются к определенному «мулу» в какой-либо стране, и операторы трояна сами решают, сколько средств будет переведено в результате транзакции. В то же время другим пользователям назначаются случайные мулы, а сумма транзакции четко фиксирована. В конечном итоге все зависит от «ценности» жертвы. Как правило, более масштабные операции привязываются к более надежным мулам, отметили исследователи.


 
Stfw.Ru
Читать ✆ в Telegram
* При комментировании просим соблюдать законы Российской Федерации.

Вредоносное ПО CoreBot превратилось в полноценный банковский троян


Сегодня:

02:05 Смели Америку с пути: Россия вышла в полуфинал ( Россия обыграла США в четвертьфинале ЧМ-2019)


02:05 Ростех разработал первый суперкомпьютер на базе процессоров "Эльбрус"


02:05 Россиянам больше не нужны визы для посещения всех 12 государств Южной Америки


02:05 В США выпустили монету с союзниками во Второй мировой войне без СССР


02:05 Британию и США унизили в Индийском океане


02:05 Адвокат братьев Навальных получает деньги от Сороса


02:05 "Позор на всю Европу!": поляки высмеяли противников песни "Тёмная ночь"


16:05 Сотрудник спецназа Вооруженных сил РФ, рассказавший о якобы имевшем место опросе Минобороны среди военнослужащих о готовности открывать огонь по протестующим, раскрыл Znak.com свою личность


16:05 США вновь вернулись к закупкам венесуэльской нефти


16:05 Китайская контрреволюция: Huawei активизирует связи с Россией После введения санкций со стороны США компания направила в российские вузы 140 технологических запросов


16:05 Долги Северного Кавказа за газ оказались втрое больше в новом отчете "Газпрома"


16:05 Война США с Ираном? Путин не помешает Трампу совершить роковую ошибку, которая может стоить Америке мировой гегемонии


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.