Nymaim e Gozi rubano, assieme, ben 4 milioni di dollari

Nymaim e Gozi, due potenti Trojan, ben noti agli esperti di sicurezza IT, sono stati fusi tra loro: il risultato ottenuto dai virus writer è una sorta di “mostro a due teste”, denominato GozNym. Il temibile ibrido prodotto, secondo i dati resi noti da IBM X-Force Research è già riuscito a rubare 4 milioni di dollari USD, nonostante sia stato scoperto soltanto due settimane fa. I ricercatori stanno attualmente monitorando una cyber-campagna particolarmente attiva; il 72% dei target da essa presi di mira è rappresentato da istituti bancari, cooperative di credito e banche al dettaglio operanti negli USA.

“GozNym è un Trojan estremamente furtivo, che ha preso il “meglio” di Nymaim e del malware commerciale Gozi, per divenire poi una minaccia IT altamente problematica, – ha dichiarato Limor Kessem, tra i principali esperti di sicurezza IT del team di ricerca e sviluppo X-Force di IBM, nel corso di un’intervista rilasciata a Threatpost. – Il numero complessivo degli attacchi informatici condotti mediante l’utilizzo di GozNym è decisamente elevato, per un malware che, in fondo, ha fatto la sua comparsa soltanto nel mese di aprile”. Il primo ibrido nato dalla combinazione di Nymaim e Gozi è stato in effetti individuato dal team X-Force all’inizio del mese corrente.

Secondo Limor Kessem, il nuovo Trojan viene diffuso principalmente attraverso messaggi e-mail provvisti di apposito allegato malevolo, contenente una macro dannosa. I cybercriminali manipolano il browser della vittima, rubano le credenziali relative all’account posseduto dall’utente sottoposto ad attacco, e sottraggono infine il denaro dal relativo conto bancario.

La combinazione di programmi Trojan non rappresenta, ad ogni caso, un elemento di novità, per la community degli esperti di sicurezza informatica; il banker Shifu, ad esempio, comparso sulla scena del malware lo scorso anno, è costituito da un’intricata fusione di codici non omogenei, e complesse tecnologie, utilizzati, in tempi diversi, da Shiz, Gozi, ZeuS e Dridex. Nel caso di GozNym, è stato creato un modello del tutto analogo: all’interno del nuovo Trojan ibrido, in effetti, coesistono entrambi i codici maligni, che si “aiutano” a vicenda nell’eseguire le funzionalità dannose. “I due Trojan, insieme, agiscono in maniera molto più efficace rispetto a quando si trovano separati”, – ha riconosciuto Limor Kessem.

Da Nymaim, l’ibrido ha preso in prestito il processo di infezione, realizzato in due fasi distinte. Secondo il team X-Force di IBM, una volta penetrato nel computer-vittima, il componente Nymaim inizia a caricare i moduli di Gozi, i quali consentono al Trojan di poter iniettare, in seguito, una libreria dinamica malevola.

“Già prima della fusione con Gozi, le precedenti versioni di Nymaim spesso caricavano, e poi iniettavano nel browser della vittima, il modulo finanziario di Gozi, sotto forma di DLL completa, con il preciso intento di poter in seguito applicare il subdolo metodo della web injection sui siti web degli istituti bancari”, – ha sottolineato l’Executive Security Advisor di IBM, descrivendo le caratteristiche del nuovo malware.

Ricordiamo che il Trojan modulare Gozi, conosciuto anche come Papras e, successivamente, Neverquest, Rovnix e Vawtrak (si tratta, in realtà, per tutti quanti, della versione 2.0 di Gozi), infastidisce ormai i clienti delle banche dalla fine del 2006. Sin dagli albori della sua esistenza, Gozi ha notevolmente stupito i ricercatori, in particolar modo per il fatto che esso era in grado di realizzare agevolmente il furto delle credenziali bancarie attraverso i form comunemente utilizzati nel web, bypassando in tal modo la protezione SSL. Il downloader Nymaim è stato rilevato per la prima volta nel 2013, e subito identificato in qualità di software estorsore, in grado di bloccare il desktop. I ricercatori di IBM ritengono che il nuovo ibrido sia stato realizzato a seguito di un ripetuto episodio di hacking, una fuga di dati che ha riguardato proprio il codice sorgente di Gozi, verificatasi alla fine dello scorso anno (il primo episodio era invece avvenuto nel 2010).

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *