Остановлена работа одного из ботнетов GozNym


CiscoСпециалистам из компании Cisco удалось остановить работу одного из ботнетов, организованных гибридным банковским трояном GozNym.

GozNym - банковский троян, сочетающий функционал двух известных вредоносов Gozi и Nymaim.

Эксперты сумели остановить работу ботнета, взломав алгоритм генерации доменных имен (DGA). Данный алгоритм троян использует для связи с постоянно меняющимися C&C-серверами злоумышленников. Согласно данным Cisco, ботнет включает, по меньшей мере, 23 062 инфицированных хостов. Из них большая часть расположена в:

  • Германии;
  • США;
  • Польше;
  • Канаде;
  • Великобритании.


Для распространения вредоносного ПО GozNym использовались фишинговые кампании. В ходе атак злоумышленники рассылали вредоносные документы Microsoft Word, которые содержали загрузчик. Именно он и загружал, а затем выполнял вредоносный код.

Напомним, в апреле нынешнего года троян GozNym был замечен в ряде кампаний, направленных на пользователей в США и Канады, а затем распространившихся на Европу. Через несколько месяцев специалистами из buguroo Threat Intelligence Labs был зафиксирован новый виток атак с использованием GozNym. Тогда вредонос нацелился на банки и финансовые сервисы в:

  • Испании;
  • Польше;
  • Японии,

а также на пользователей из:

  • Канады;
  • Италии;
  • Австралии.

Обновлено (29.09.2016 22:11)