Банковский троянец GozNym далеко пойдет: появившись на ИБ-радарах недели три назад, он успел переплыть океан и уже осваивает Европу. По свидетельству IBM X-Force, на настоящий момент GozNym интересуется корпоративными и частными счетами не только в американских, но также в португальских и в особенности в польских банках.

В ходе атаки держатель банковского счета перенаправляется на страницу, имитирующую запрошенный ресурс, на котором ему предлагается ввести конфиденциальную информацию, в том числе идентификаторы в системе онлайн-банкинга и коды аутентификации. Использование GozNym позволяет атакующим отображать в адресной строке реальные URL и SSL-защиту банка.

Чтобы скрыть фишинговый контент на поддельной странице от пользователей и исследователей, злоумышленники используют оверлей — пустую страницу-накладку, подгружаемую с некоего московского сервера. При заходе жертвы на страницу-ловушку наложение снимается, открывая поля для ввода логина и пароля, которые после кражи отправляются на другой сервер.

«После первоначального, ложного входа зловред посредством веб-инъекции отображает экран задержки изображения с предложением подождать, — пишет эксперт исследовательского подразделения IBM Лимор Кессем (Limor Kessem). — Пока жертва ждет, мошенническое ПО запрашивает с C&C-сервера дополнительные веб-инжекты, чтобы выманить у пользователя дальнейшую информацию о его аккаунте».

По словам Кессем, в настоящее время GozNym нацелен на 17 банков и располагает 230 дополнительными URL для проведения атак на комьюнити-банки и почтовые сервисы Польши.

Перенаправление пользователей осуществляется тем же способом, который недавно освоил Dridex, — через подмену записей в локальном DNS-кэше. «Убедительные редирект-атаки — ресурсоемкое мероприятие, требующее больших вложений в создание точных копий сайтов атакуемых банков, — подчеркивает Кессем. — Стоящая за Nymaim группировка — одна из немногих, имеющих такие возможности».

Банкер GozNym объявился в начале апреля как результат слияния двух других троянцев, Nymaim и Gozi. На тот момент в его списке мишеней числились 24 банка — 22 американских и 2 канадских. Распространяется новый гибрид через спам с вредоносным вложением, и, судя по данным IBM, весьма агрессивно.

Категории: Аналитика, Вредоносные программы