Najnovija prijetnja američkom bankarskom sustavu je hibridni zlonamjerni softver sa snažnim napadačkim sposobnostima.
Bankarski trojanci Nymaim i Gozi ISFB udružili su se kako bi stvorili novi hibrid, GozNym, koji je već postao odgovoran za krađu milijuna dolara iz banaka.
Prema istraživačima IBM X-Force, operateri moćnog trojanca Nymaim ponovno su kompajlirali njegov izvorni kod s dijelovima Gozija ISFB izvorni kod, koji je stvorio hibridni zlonamjerni softver "dvoglavog čudovišta" koji je poboljšan mogućnostima.
Tim kaže da se bankarski trojanac već aktivno koristi u napadima na financijske institucije s općim ciljem kompromitiranja poslovnih računa.
GozNym se trenutno koristi u kampanjama usmjerenim na najmanje 24 američke banke, kreditne unije i platforme za e-trgovinu, a uspio je ukrasti "milijune dolara do sada" u nekoliko tjedana.
Dvije financijske institucije u Kanadi također su postale žrtve hibridnog zlonamjernog softvera.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
Izvorni kod za Gozi ISFB procurio je u javnost 2010., kao i 2015., kada se pričalo da je dostupna dorađena i modificirana verzija trojanskog koda. Međutim, jedina skupina za koju se zna da ima pristup izvornom kodu Nymaima je njegov izvorni razvoj tima, pa je moguće da su se kibernetički napadači okrenuli ovom curenju kako bi poboljšali svoje programa.
"Najvjerojatniji scenarij je da je tim Nymaima došao do Gozi ISFB koda koji je procurio i to uspješno ugradili su ga u vlastiti zlonamjerni softver kako bi stvorili kombinirani trojanac za napade financijskih prijevara," IBM kaže.
Interno, spajanje izvornog koda rezultiralo je bankovnim trojancem "gdje se dva koda oslanjaju jedan na drugi za izvođenje internih operacija zlonamjernog softvera", prema sigurnosnim istraživačima.
Trojanac Nymaim je zlonamjerni softver koji obično kompromitira sustave putem paketa za iskorištavanje prije nego što izvrši korisni teret za krađu vjerodajnica i korisničkih podataka. Zlonamjerni softver, koji se u prošlosti povezivao s padom ransomwarea, koristi napredne tehnike uključujući enkripciju, anti-VM i maskiranje tijeka kontrole kako bi ostao skriven.
Međutim, krajem 2015. IBM je primijetio da Nymaium povlači Gozi modul, webinjection biblioteku dinamičkih veza (DLL), za izvođenje napada na internetsko bankarstvo. Tim je rekao:
"Prije spajanja u stvarni hibrid, ranije verzije Nymaima koristile su se za dohvaćanje i ubacivanje Gozi ISFB-a financijski modul kao kompletan DLL u preglednik zaražene žrtve kako bi se omogućile web-injekcije na mreži bankarske stranice.
Ovaj zlonamjerni softver je prikriven i uporan kao i Nymaim loader, dok posjeduje sposobnost trojanca Gozi ISFB da manipulira web sesijama, što rezultira naprednim napadima prijevare u online bankarstvu."
Ovo je daleko od dobrih vijesti za bankovne sustave, pogotovo jer je malware već dokazao svoju vrijednost krađom milijuna dolara u tako kratkom vremenskom roku. Hibridi zlonamjernog softvera nisu novost, ali kako kibernetički napadači razvijaju svoje napade i tehnike, financijski institucije također moraju više ulagati u zaštitne mjere kako bi spriječile da postanu drugi žrtva.
10 stvari koje niste znali o Dark Webu
Čitajte dalje: Najbolji odabiri
- Apple prelazi na stranu poslužitelja kako bi popravio sigurnosni propust zaobilaženja zaključanog zaslona Siri
- Nagrade za bugove: Koje tvrtke istraživačima nude novac?
- Cybernapadači kvare integraciju Adobe Flash zero-day ranjivosti u komplete za iskorištavanje
- Upoznajte tvrtku koja želi spriječiti pirate da koriste web dok ne plate