Специалисты компании buguroo Threat Intelligence Labs обнародовали доклад о деятельности гибридной банковской троянской программы GozNym, которые сочетает в себе функционал Gozi и Nymaim. Ранее уже были замечены различные киберкампании с использованием троянской программы GozNym, которые были направлены против американских и канадских пользователей, а затем распространились на страны Европы.
Исследователи buguroo зафиксировали новые кибератаки с применением GozNym. Целями хакеров в большинстве случаев выступали испанские, польские и японские банки, а также были замечены атаки на австралийских, итальянских и канадских пользователей. Как сообщают эксперты, операторы троянской программы пользуются новыми методиками, которые пока еще далеки от совершенства.
Например, в Испании распространение вредоносной программы осуществляется с помощью ссылок, ведущих на взломанные WordPress-сайты. По словам экспертов, в этой стране от действий GozNym пострадало гораздо меньше пользователей в сравнении с Польшей и Японией. Во время проведения исследования серверы, с помощью которых осуществлялось распространение вредоносной программы и управление ею, находились в неактивном состоянии или были отключены. Жертвами GozNym стали банки и платежные сервисы, в частности Bank of Tokyo, BNP Paribas, CitiDirect BE, ING Bank, PayPal и Société Générale.
В ходе анализа выяснилось, что разработчики GozNym продолжают совершенствовать программу. Сейчас в ней применяется сложная техника динамической веб-инъекции, которая позволяет избегать обнаружения. Помимо этого, каждый раз после того, как факт атаки был зафиксирован, операторы вредоносной программы вносят изменения в ее код, что делает возможным обход защитных механизмов целевой организации и проведение повторного кибернападения.
При попытке проведения жертвой транзакции, троянская программа отправляет сообщение об этом на C&C-сервер, подконтрольный злоумышленникам. В свою очередь сервер присылает пользователю поддельное уведомление о том, что необходимо ввести ключ для завершения транзакции. Жертва вводит нужную информацию и отправляет деньги на счет, находящийся под контролем хакеров.
Как утверждают исследователи, многие пользователи привязываются к определенному счету в какой-либо стране, и операторы троянской программы сами решают, сколько денег будет переведено в ходе транзакции. В то же время для других пользователей назначаются случайные счета, а размер денежного перевода строго фиксирован.