GozNym - гибридный банковский троян атакует мировые бренды


GozNym - гибридный банковский троян, сочетающего в себе функционал известных вредоносов Gozi и Nymaim.

Используя GozNym злоумышленники решили атаковать банки и финансовые сервисы в:

  • Испании;
  • Польше;
  • Японии;
  • Канады;
  • Италии;
  • Австралии.


Напомним, ранее троян GozNym был замечен в ряде различных кампаний, направленных на пользователей в США и Канаде, а затем распространившихся на Европу.

В настоящее время операторы трояна используют новые техники, пока еще далекие от совершенства. Например, в Испании вредоносное ПО распространяется через вредоносные ссылки, ведущие на скомпрометированные сайты под управлением WordPress. Число жертв в этой стране значительно ниже по сравнению с показателями Польши и Японии. В числе пострадавших от действий GozNym оказались известные финансовые группы и платежные системы, в частности:

  • PayPal;
  • CitiDirect BE;
  • ING Bank;
  • Société Générale;
  • BNP Paribas;
  • Bank of Tokyo и пр.


На сегодняшний день GozNym продолжает эволюционировать. Сейчас троян использует сложную технику динамической web-инъекции, позволяющей избежать обнаружения. Примечательно то, что каждый раз после обнаружения атаки операторы вредоноса модифицируют его код, что позволяет обойти защиту, установленную целевой организацией и осуществить повторную атаку.

При попытке жертвой провести транзакцию, троян передает соответствующее сообщение на C&C-сервер злоумышленников. В ответ сервер отправляет пользователю фальшивое предупреждение о необходимости ввода ключа для завершения транзакции. После ввода жертвой необходимых данных ее средства будут переведены на счет так называемого "мула".

Согласно данным, некоторые пользователи привязываются к определенному "мулу" в какой-либо стране, и операторы трояна сами решают, сколько средств будет переведено в результате транзакции. Другим пользователям назначаются случайные мулы, а сумма транзакции четко фиксирована. В конечном итоге все зависит от "ценности" жертвы. Как правило, более масштабные операции привязываются к более надежным мулам.