Работа ботнета GozNym была пресечена экспертами

Работа ботнета, организованного гибридной банковской троянской программой GozNym, которая сочетает в себе функционал Gozi и Nymaim, была остановлена специалистами Cisco Talos. Сейчас эксперты пытаются пресечь деятельность других ботнетов GozNym.

Специалисты остановили работу ботнета путем взлома алгоритма генерации доменных имен (DGA), который используется троянской программой для того, чтобы выходить на связь с регулярно меняющимися командными серверами киберпреступников. Согласно информации Cisco Talos, в состав ботнета входят как минимум 23062 зараженных хоста, большая часть которых размещена в Великобритании, Германии, Канаде, Польше и США.

Эксперты выявили несколько целевых фишинговых кампаний, в рамках которых осуществлялось распространение вредоносной програмы GozNym. В ходе атак киберпреступники проводили рассылку документов Microsoft Word, содержащих программу, загружавшую и выполнявшую вредоносный код.

Троянская программа GozNym в апреле этого года была замечена в ряде киберкампаний, которые были направлены против американских и канадских пользователей, а затем распространились на Европу. Несколько месяцев спустя эксперты buguroo Threat Intelligence Labs выявили новый всплеск кибератак с применением GozNym, нацеленных на испанские, польские и японские финансовые учреждения, а также на австралийских, итальянских и канадских пользователей.