News

Nymaim e Gozi rubano, assieme, ben 4 milioni di dollari

Nymaim e Gozi, due potenti Trojan, ben noti agli esperti di sicurezza IT, sono stati fusi tra loro: il risultato ottenuto dai virus writer è una sorta di “mostro a due teste”, denominato GozNym. Il temibile ibrido prodotto, secondo i dati resi noti da IBM X-Force Research è già riuscito a rubare 4 milioni di dollari USD, nonostante sia stato scoperto soltanto due settimane fa. I ricercatori stanno attualmente monitorando una cyber-campagna particolarmente attiva; il 72% dei target da essa presi di mira è rappresentato da istituti bancari, cooperative di credito e banche al dettaglio operanti negli USA.

“GozNym è un Trojan estremamente furtivo, che ha preso il “meglio” di Nymaim e del malware commerciale Gozi, per divenire poi una minaccia IT altamente problematica, – ha dichiarato Limor Kessem, tra i principali esperti di sicurezza IT del team di ricerca e sviluppo X-Force di IBM, nel corso di un’intervista rilasciata a Threatpost. – Il numero complessivo degli attacchi informatici condotti mediante l’utilizzo di GozNym è decisamente elevato, per un malware che, in fondo, ha fatto la sua comparsa soltanto nel mese di aprile”. Il primo ibrido nato dalla combinazione di Nymaim e Gozi è stato in effetti individuato dal team X-Force all’inizio del mese corrente.

Secondo Limor Kessem, il nuovo Trojan viene diffuso principalmente attraverso messaggi e-mail provvisti di apposito allegato malevolo, contenente una macro dannosa. I cybercriminali manipolano il browser della vittima, rubano le credenziali relative all’account posseduto dall’utente sottoposto ad attacco, e sottraggono infine il denaro dal relativo conto bancario.

La combinazione di programmi Trojan non rappresenta, ad ogni caso, un elemento di novità, per la community degli esperti di sicurezza informatica; il banker Shifu, ad esempio, comparso sulla scena del malware lo scorso anno, è costituito da un’intricata fusione di codici non omogenei, e complesse tecnologie, utilizzati, in tempi diversi, da Shiz, Gozi, ZeuS e Dridex. Nel caso di GozNym, è stato creato un modello del tutto analogo: all’interno del nuovo Trojan ibrido, in effetti, coesistono entrambi i codici maligni, che si “aiutano” a vicenda nell’eseguire le funzionalità dannose. “I due Trojan, insieme, agiscono in maniera molto più efficace rispetto a quando si trovano separati”, – ha riconosciuto Limor Kessem.

Da Nymaim, l’ibrido ha preso in prestito il processo di infezione, realizzato in due fasi distinte. Secondo il team X-Force di IBM, una volta penetrato nel computer-vittima, il componente Nymaim inizia a caricare i moduli di Gozi, i quali consentono al Trojan di poter iniettare, in seguito, una libreria dinamica malevola.

“Già prima della fusione con Gozi, le precedenti versioni di Nymaim spesso caricavano, e poi iniettavano nel browser della vittima, il modulo finanziario di Gozi, sotto forma di DLL completa, con il preciso intento di poter in seguito applicare il subdolo metodo della web injection sui siti web degli istituti bancari”, – ha sottolineato l’Executive Security Advisor di IBM, descrivendo le caratteristiche del nuovo malware.

Ricordiamo che il Trojan modulare Gozi, conosciuto anche come Papras e, successivamente, Neverquest, Rovnix e Vawtrak (si tratta, in realtà, per tutti quanti, della versione 2.0 di Gozi), infastidisce ormai i clienti delle banche dalla fine del 2006. Sin dagli albori della sua esistenza, Gozi ha notevolmente stupito i ricercatori, in particolar modo per il fatto che esso era in grado di realizzare agevolmente il furto delle credenziali bancarie attraverso i form comunemente utilizzati nel web, bypassando in tal modo la protezione SSL. Il downloader Nymaim è stato rilevato per la prima volta nel 2013, e subito identificato in qualità di software estorsore, in grado di bloccare il desktop. I ricercatori di IBM ritengono che il nuovo ibrido sia stato realizzato a seguito di un ripetuto episodio di hacking, una fuga di dati che ha riguardato proprio il codice sorgente di Gozi, verificatasi alla fine dello scorso anno (il primo episodio era invece avvenuto nel 2010).

Fonte: Threatpost

Nymaim e Gozi rubano, assieme, ben 4 milioni di dollari

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox