Cyberkriminelle haben den Code von zwei Malwaretypen kombiniert und damit innerhalb weniger Tage mehrere Millionen Dollar von über 24 amerikanischen und kanadischen Banken gestohlen. Über die Hintergründe dieser Raubzüge berichteten Sicherheitsforscher von IBM X-Force. Sie bezeichnen die hybride Malware als „doppelköpfiges Monster“. Die Autoren vermuten sie in Osteuropa, obwohl es nicht eindeutig zu beweisen ist.
Zusammengefügt wurde Code von Nymaim und Gozi ISFB, um einen als GozNym bezeichneten Trojaner zu schaffen, der sich besonders für Online-Banking-Betrug eignet. Nymaim ist bereits ein Malware-Dropper, der in zwei Phasen vorgeht. Er infiltriert Rechner gewöhnlich durch Exploit-Kits wie Blackhole und nutzt danach eine zweite ausführbare Datei.
Schon für sich genommen ist Nymaim ein Trojaner, der sich durch Verschlüsselung und weitere ausgeklügelte Techniken effektiv gegen Entdeckung schützt. Mit Banking-Malware wird er erst seit November 2015 in Verbindung gebracht. Zuvor wurde er fast ausschließlich eingesetzt, um Ransomware auf Computer zu befördern.
Die Malware Gozi ISFB wiederum injiziert Skripte in Browser, um Anmeldedaten abzufangen, wenn Opfer eine Banking-Site besuchen. Laut X-Force ist dieser Trojaner besonders effektiv darin, Antivirus-Software zu vermeiden und Bank-Anmeldedaten abzugreifen, um die Konten ausplündern zu können. Da Quellcode dieser Schadsoftware durchsickerte, konnten sich die Hintermänner von Nymaim daran bedienen.
Mit Gozi ISFB wurde Nymaim nun um einen weiteren Schritt in der Infektionskette ergänzt. Ende 2015 fiel den IBM-Forschern auf, dass Nymaim ein Gozi-ISFB-Modul nachzuladen begann, eine Webinjection Dynamic Link Library (DLL), um sie für Online-Banking-Angriffe zu nutzen. Anfang April 2016 wurde dann GozNym als fusionierte Variante erkannt, bei der Nymaim mit Code aus Gozi ISFB zu einer Malware rekompiliert wurde. Neuere Versionen enthalten darüber hinaus veränderten Gozi-ISFB-Code.
„Die Verschmelzung von Nymaim und Teilen von Gozi ISFB hat einen neuen Trojaner in der Wildbahn hervorgebracht“, schreibt in einem Blogeintrag Limor Kessem, Executive Security Advisor von IBM. „Die Malware ist so gut getarnt und hartnäckig wie der Nymaim-Loader, während er zugleich die Fähigkeit besitzt, Websitzungen zu manipulieren, was hochentwickelte Online-Banking-Angriffe ermöglicht.“
[mit Material von Charlie Osborne, ZDNet.com]
Neueste Kommentare
5 Kommentare zu Banking-Trojaner GozNym verursacht Millionenschaden
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Das ist alles Nonsens um einfach noch mehr Security Software und neue BS zu verkaufen !.
Das mag deine Sicht der Dinge sein. Sie entspricht aber nicht der Realität. Nur weil, du noch nie einen Cyberangriff erlebt hast, existieren sie doch. Sei froh, wenn du bislang kein Opfer wurdest. Ich kann nur aus meiner Erfahrung schreiben und mitteilen, dass sich ein großer Teil der Kriminellen schon seit Langem auf den Cyberspace verlegt hat. Ich musste schon Freunden und Bekannten helfen sich gegen Cybererpresser zu wehren. Außerdem glaubst du allen Ernstes, dass alle Meldungen aus verschiedenen Medien zu Bankangreifern frei erfunden sind?. Google mal nach „Nymaim“ und sieh dir die Ergebnisse an.
Ich kann dem ganzen nicht entnehmen wie das Szenario aussah? Wie kommt der Trojaner auf welche Rechner? Was musste das Opfer machen?
Welche Maßnahmen wurden ergriffen?
Auf einen Link in einer infizierten Mail klicken:
„Essentially, GozNym sneaks its way into a computer when an account holder clicks on email attachments or links, and then stays dormant until the user logs on to his or her bank account. Once this happens, GozNym really goes to work, stealing and sending information to hackers. “It all happens without the user seeing anything,” Etay Maor, executive security adviser at IBM Security tells the Wall Street Journal.“
https://www.yahoo.com/tech/malware-goznym-stealing-millions-u-190215665.html
Und bei IBM: https://securityintelligence.com/meet-goznym-the-banking-malware-offspring-of-gozi-isfb-and-nymaim/
Klingt nach Windows (‚loading DLL‘) Systemen als Zielrechner, aber irgendwie scheint das keiner so klar schreiben zu wollen – kann auch allgemeiner Natur aein, und nicht-Windows Systeme betreffen, siehe unten: http://www.pcworld.com/article/3056784/hybrid-goznym-malware-targets-customers-of-24-financial-institutions.html
„“This malware is as stealthy and persistent as the Nymaim loader while possessing the Gozi ISFB Trojan’s ability to manipulate Web sessions, resulting in advanced online banking fraud attacks,“ the IBM X-Force researchers said in a blog post.“
PS (obwohl dder erste Kommentar noch nicht zu sehen ist): ist gerade nicht dr einzige Trojaner Retefe grassiert ebenfalls. Und es scheint per E-Mail / Zip Datei zu passieren, und tatsächlich auf Windows Rechner abzuzielen.
„… verbreite sich über E-Mails mit Dateianhang und hat es auf Windows-Nutzer abgesehen.“
http://www.heise.de/newsticker/meldung/Banking-Trojaner-Retefe-ist-zurueck-3176787.html
Da bei GozNym DLL Dateien nachgeladen, scheint er ebenfalls auf Windows Rechner abzuzielen.