Троян GozNym атакует пользователей финансовых организаций в Европе


IBM-ForceСпециалисты из IBM X-Force зафиксировали в сети новую волну атак на финансовые организации с использованием трояна GozNym.

GozNym - новый гибридный троян, нацеленный на семнадцать финансовых организаций в Польше и один банк в Португалии.

Атака заключается в том, что при попытке зайти на сайт банка жертва будет перенаправлена на подконтрольный злоумышленникам ресурс. Такой подход позволяет успешно обходить реализованные банками механизмы защиты. В результате ничего не подозревающий пользователь сразу же будет перенаправлен на вредоносный ресурс, так и не попав на настоящий сайт финансовой организации.

Подконтрольный злоумышленникам ресурс выполнен в точности, как настоящий банковский сайт, из-за чего жертва даже не догадывается об обмане. Используя такой ресурс, злоумышленники выманивают у пользователя секретные коды авторизации, при этом банк так и остается в неведении.

Стоит отметить, что данная тактика использовалась в атаках с участием банковских троянов Dyre и Dridex, а создатели GozNym просто модифицировали эту схему.

Атака с применением GozNym осуществляется в два этапа. При попытке жертвой зайти на один из банковских сайтов из списка трояна, GozNym автоматически перенаправляет ее на поддельную страницу. А чтобы пользователь не заметил подмену, в адресной строке указывается URL-адрес настоящего сайта и SSL-сертификат. Для сохранения SSL-соединения банку отправляется запрос empty/idle. На этом вся схожесть заканчивается.

Поддельная страница содержит верхний пустой слой и представляет собой простой CSS-трюк, когда пустой div-элемент накладывается поверх всего экрана. Такая "завеса" ничего не удаляет из исходного кода страницы, однако скрывает ее вредоносный контент от глаз пользователя.

На второй фазе атаки верхний слой страницы удаляется, открывая жертве вредоносный контент.

Установлено, что GozNym связывается с двумя C&C-серверами, один из которых находится в Москве.


Обновлено (27.04.2016 00:06)