Вредоносная программа GozNym теперь применяется против 17 польских финансовых учреждений и одного португальского банка. Примечательно, что эксперты IBM X-Force зафиксировали вредоносную активность с использованием GozNym в Европе через неделю после начала масштабной киберкампании против банков в Северной Америке.
Когда жертва GozNym пытается попасть на сайт банка, происходит перенаправление на ресурс, находящийся под контролем злоумышленников. Данная техника является крайне эффективной, так как дает возможность с успехом преодолевать защитные механизмы, которые были реализованы банками. Перенаправление на вредоносную веб-страницу происходит сразу, таким образом пользователь так и не попадает на настоящий веб-ресурс финансовой организации.
Сайт, находящийся под контролем злоумышленников, имитирует банковский веб-ресурс. В силу того, что веб-страница является точной копией сайта банка, пользователь не подозревает об обмане и передает киберпреступникам секретные коды авторизации. Данный метод доказал свою эффективность в ходе кибернападений с применением банковских троянских программ Dridex и Dyre.
Кибернападение с использованием GozNym происходит в два этапа. При попытке входа на один из банковских сайтов, присутствующих в списке троянской программы, GozNym сразу же инициирует перенаправление пользователя на фальшивую веб-страницу. Чтобы жертва ничего не заподозрила, в адресной строке указан URL-адрес настоящего веб-ресурса и SSL-сертификат. Для сохранения SSL-соединения программа отправляет в банк запрос empty/idle.
В фальшивой веб-странице присутствует верхний пустой слой: поверх всего экрана накладывается пустой div-элемент. При этом из исходного кода страницы ничего не удаляется, однако в то же время вредоносный контент скрыт от пользователя. Второй этап кибератаки подразумевает удаление верхнего слоя веб-страницы и открытие вредоносного контента.
По словам экспертов IBM X-Force, GozNym связан с двумя C&C-серверами, причем один из них размещен в Москве.