[You must be registered and logged in to see this image.]Сериозна
киберзаплаха отново се е активизирала след месеци на тишина, алармират
buguroo и други компании. Става дума за
Gozi, модулна и мултиплатформена зловредна програма, открита за пръв път през 2007г. Самият факт за това, че тя е все още активна говори достатъчно за сериозността на заплахата. Освен, че е модулна, позволяваща добавянето на разширения и обогатяване на функционалностите ѝ, тя използва различни методи за прикритието си, но не само това са причините за продължаващия ѝ живот. На два пъти изходният код на Gozi изтича в даркуеб пространството, което позволи създаването на по-опасни нейни варианти, като
GoziPrinimalka, виновен за широкомащабни атаки към големи американски банки през 2012 (Project Blitzkrieg). Друга нейна версия – GozNym, съчетаваща Gozi с друга заплаха – Nymaim – също участва в продължение на Project Blitzkrieg миналата година.
Тази година цел на авторите на новата кампания на
GozNym явно не са само американски банки, предава buguroo в доклад (pdf). Става дума за банки в Испания, Полша, Италия, Австралия, Япония и Канада.
Атаките, свързани с потребители на полски и японски банки са най-много. За целта, авторите на атаките използват услуги за скриване/съкращаване на URL адреси и
компрометирани WordPress ресурси. Мишена на престъпниците са станали потребители на банки и финансови услуги, както и известни марки, сред които PayPal, CitiDirect BE, ING Bank, Société Générale, BNP Paribas, Bank of Tokyo.
Gozi използва сложна реализация на уеб инджект, което е допълнително оптимизирано за избягване на засичане. Освен това, веднъж регистрирана атаката от специалисти, разпространителите на зловреда преправят веднага кода, така че тя да не бъде засечена. Когато набелязаната жертва реши да направи транзакция, зловредната програма се активира и алармира за това командния център, след което се задейства и въпросният уеб инджект, който вмъква над реалната страница нейн „колонинг“. Пред жертвата се появява съобщение да изчака и да въведе код за сигурност, за да бъде извършен трансфера. Нищо неподозиращият човек наистина изпраща парична сума, но не към услугата, а към „муле“.
Престъпната схема е доста добре организирана, предават авторите на доклада. Така например, някои от потребителите получават точно определено „муле“ (човек, свързан с престъпниците, който се грижи за получаването/изтеглянето на крадените пари) в дадена страна, като контролният оператор решава колко пари ще бъдат трансферирани – в зависимост от „надеждността“ на жертвата.
Авторите на заплахата явно следят какво се случва на пазара на киберзащитата и са подготвили заплахата и за решения за сигурност от последно поколение. Понякога заплахата изпраща биометрична информация, като например колко време ѝ отнема на жертвата да се премести от едно поле за попълване към друго. Това се следи с цел да се пребори с интелигентните решения за поведенчески анализ, поставени на изхода на някои уеб портали.
Авторите на доклада очакват атаките да се засилят и разпространят.
/kaldata.com