Два известных троянца, Nymaim и Gozi, были слиты воедино, в результате получился «двуглавый зверь», прозванный GozNym. Итоговый гибрид, по данным IBM X-Force Research, уже умудрился украсть $4 млн, хотя был обнаружен всего две недели назад. Исследователи наблюдают активную киберкампанию, 72% мишеней которой составляют банковские учреждения, кредитные союзы и розничные банки США.

«GozNym — это весьма скрытный троянец, взявший лучшее от Nymaim и коммерческого зловреда Gozi, чтобы стать очень проблематичной угрозой, — заявила Threatpost ИБ-эксперт исследовательского подразделения IBM Лимор Кессем (Limor Kessem). —  Число атак GozNym очень велико для зловреда, появившегося лишь в апреле». Первый гибрид Nymaim и Gozi команда X-Force обнаружила в начале текущего месяца.

По свидетельству Кессем, новый троянец распространяется преимущественно через электронные письма с вложением, содержащим вредоносный макрос. Злоумышленники манипулируют браузером жертвы, крадут учетные данные и выводят деньги с ее счета.

Троянские комби — не новость для ИБ-сообщества; так, объявившийся в прошлом году банкер Shifu представляет собой затейливый сплав из чужих кодов разных времен, в том числе технологий, используемых Shiz, Gozi, ZeuS и Dridex. Аналогичным образом был создан и GozNym; оба кода сосуществуют в нем, помогая друг другу выполнять вредоносные функции. «Вместе оба троянца работают намного эффективнее, чем раздельно», — признала Кессем.

У Nymaim гибрид позаимствовал двухэтапный процесс заражения. Согласно IBM X-Force, после проникновения на компьютер Nymaim-компонент начинает загружать модули Gozi, ответственные за внедрение вредоносной динамической библиотеки.

«Еще до слияния с Gozi ранние версии Nymaim зачастую загружали и внедряли в браузер жертвы финансовый модуль Gozi в виде полноценной DLL, с тем чтобы осуществлять веб-инъекции на банковских сайтах», — отметила Кессем, характеризуя нового зловреда.

Напомним, модульный троянец Gozi, он же Papras, а впоследствии Neverquest, Rovnix и Vawtrak (все они по сути — Gozi версии 2.0), досаждает клиентам банков с конца 2006 года. Еще на заре своего существования он поразил исследователей тем, что умел похищать банковские реквизиты из типовых веб-форм в обход SSL-защиты. Даунлоудер Nymaim был впервые обнаружен в 2013 году и идентифицирован как вымогатель, блокирующий рабочий стол. Исследователи из IBM полагают, что новый гибрид был создан вследствие повторной утечки исходного кода Gozi в конце прошлого года (первая произошла в 2010 году).

Категории: Аналитика, Вредоносные программы