Гибридный банковский троян GozNym атакует известные мировые бренды

Операторы трояна используют новые техники, пока еще далекие от совершенства.




Исследователи компании buguroo Threat Intelligence Labs опубликовали доклад, посвященный деятельности гибридного банковского трояна GozNym, сочетающего в себе функционал известных вредоносов Gozi и Nymaim. Троян GozNym уже был замечен в ряде различных кампаний, направленных на пользователей в США и Канаде, а затем распространившихся на Европу.


Эксперты buguroo зафиксировали новый виток атак с использованием GozNym, в основном направленных на банки и финансовые сервисы в Испании, Польше и Японии и в ряде случаев – на пользователей из Канады, Италии и Австралии. По данным исследователей, операторы трояна используют новые техники, пока еще далекие от совершенства.


К примеру, в Испании вредоносное ПО распространяется через вредоносные ссылки, ведущие на скомпрометированные сайты под управлением WordPress. Согласно экспертам, число жертв в этой стране значительно ниже по сравнению с показателями Польши и Японии. На момент проведения исследования серверы, использовавшиеся для распространения и управления вредоносом, были неактивны или отключены. В числе пострадавших от действий GozNym оказались известные финансовые группы и платежные системы, в частности PayPal, CitiDirect BE, ING Bank, Société Générale, BNP Paribas, Bank of Tokyo и пр.


Как показал анализ, GozNym продолжает эволюционировать. Сейчас троян использует сложную технику динамической web-инъекции, позволяющей избежать обнаружения. Кроме того, каждый раз после обнаружения атаки операторы вредоноса модифицируют его код, что позволяет обойти защиту, установленную целевой организацией и осуществить повторную атаку.


Когда жертва пытается провести транзакцию, троян немедленно отсылает соответствующее сообщение на C&C-сервер злоумышленников. В ответ сервер отправляет пользователю фальшивое предупреждение о необходимости ввода ключа для завершения транзакции. Жертва вводит необходимые данные и таким образом отправляет средства на счет так называемого «мула». 


По данным исследователей, некоторые пользователи привязываются к определенному «мулу» в какой-либо стране, и операторы трояна сами решают, сколько средств будет переведено в результате транзакции. В то же время другим пользователям назначаются случайные мулы, а сумма транзакции четко фиксирована. В конечном итоге все зависит от «ценности» жертвы. Как правило, более масштабные операции привязываются к более надежным мулам, отметили исследователи.


 
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

15:07 Глава Amazon стал самым богатым человеком в современной истории


14:07 Обзор процессоров AMD Ryzen 7 2700X и Ryzen 7 2700


14:07 У Samsung Galaxy S10 будет три версии с экранами разного размера и подэкранный сканер отпечатков пальцев


14:07 Стороннее расширение добавляет поддержку функции Windows Timeline в браузеры Chrome и Firefox


14:07 Samsung сообщила о старте продаж смартфонов Galaxy S9 и Galaxy S9+ в цветах Burgundy Red и Sunrise Gold


14:07 Ростех создал "покрытие-хамелеон" для маскировки солдат и боевой техники


14:07 Смартфоны Huawei Nova 3 и Nova 3i представят 26 июля


14:07 Nokia 6.1 Plus засветился в бенчмарке Geekbench


12:07 Состояние Джеффа Безоса превысило $150 млрд. Он побил рекорд Билла Гейтса, став богатейшим человеком в современной истории


12:07 Великобритания построит в Шотландии свой первый космодром для запуска малых спутников


12:07 Skype наконец позволит записывать звонки. Эту функцию все ждут уже 15 лет


12:07 Skype для ПК получил дизайн и функции мобильного приложения


12:07 FEX.NET представил новые тарифы на 10 ГБ и 100 ГБ облачного пространства


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.