SOFTWARE MALICIOSO GOZI

El software malicioso Gozi fue descubierto por primera vez en 2007, su código fuente se ha filtrado dos veces en el submundo del crimen permitiendo la creación de una nueva versión sofisticada

Recientemente expertos en seguridad de la X-Force de IBM han encontrado una nueva amenaza apodado GozNym troyano que combina las capacidades de malware Gozi ISFB y Nymaim.

Investigadores de BUGUROO descubrieron nuevas campañas GOZI que apuntaron principalmente bancos y servicios financieros en España, Polonia y Japón, los expertos también notaron algunos ataques dirigidos a usuarios en Canadá, Italia y Australia.

En España, los atacantes entregan el malware mediante la explotación de sitios web de WordPress comprometidas. El malware se propaga a través de enlaces maliciosos que aprovechan los servicios de acortamiento de URL.

Las nuevas campañas están utilizando inyección de web dinámica y optimizar automáticamente la selección de mulas después de perfiles de la víctima.

Las inyecciones web son muy sofisticados y optimizado para evitar la detección, de acuerdo con el informe de los operadores refinaron el mecanismo después de un ataque ha sido descubierto.

Se observó el mayor número de infecciones en Polonia y Japón, los agentes de amenaza detrás de la campaña también se utilizan servidores ubicados en Canadá, Italia, Australia y en otras campañas GOZI que afectaron a estos países.

Las nuevas campañas impactados marcas populares, incluyendo BNP Paribas, Banco de Tokio, CitiDirect BE, ING Bank, PayPal, Société Générale, BNP Paribas.

¿Como funciona este malware?: Un análisis detallado de cómo el webinjects trabajo reveló que cuando un usuario infectado en una institución financiera de destino intenta una transacción, el C2 (comando y control del servidor) se notifica en tiempo real y envía el navegador del usuario la información necesaria para llevar a cabo las transferencias fraudulentas . Lo que el usuario ve: El código inyectado es fraudulento

  • Lo que el usuario ve: El código inyectado es fraudulento en espera de depósito de alerta que solicita la clave de seguridad para completar la transferencia.
  • Lo que el banco ve: Hidden debajo, sin embargo, es la página de transferencia de bienes real que está siendo presentado al banco. El usuario desprevenido está entrando sin darse cuenta de su clave, no para recibir dinero, pero para enviar su dinero a una "mula" designado por los operadores de malware "
  • La víctima está entrando de forma inadvertida la información solicitada y envía dinero a uno de los seleccionados "mula".

Las nuevas campañas GOZI también revelaron que, para ciertas versiones de los webinjects, el troyano envía un tipo de información biométrica para el panel de control. La información incluye datos sobre el tiempo que el usuario tarda en pasar de un campo de entrada para el siguiente, este tipo de información es valiosa para los sistemas de protección de derivación que el comportamiento del usuario apalancamiento.

Los expertos observaron algunas similitudes entre los webinjects utilizados en estas nuevas campañas GOZI y el implementado por una familia de malware denominado Gootkit.

"Los webinjects utilizados en estas campañas también revelaron similitudes clave para GOOTKIT , no sólo relacionadas con el código y las técnicas utilizadas, sino también a las fechas y horas correspondientes a sus actualizaciones en los ATS correspondientes paneles-impulsada por las empresas afectadas lanzamiento de las medidas de seguridad a impedir el funcionamiento del software malicioso. "

"Esta evolución pone de manifiesto la tendencia de profesionalización de los servicios de malware. Los servicios se venden bajo tierra por empresas independientes y no son capaces de entregar un código malicioso para su uso por diferentes organizaciones, familias de malware y las campañas ".


Fecha actualización el 2016-8-23. Fecha publicación el . Categoría: Seguridad. Autor: Mapa del sitio
gozi malware