Хакеры создали гибридный вирус, скрестив дроппер Nymaim с банкером Gozi, который атаковал финансовые учреждения в США и Канаде.

Об этом сообщает “Хакер”.

Специалисты IBM Security заявили, что полученная гибридная малварь получила название GozNym.

Как отмечают исследователи, гибридный вредонос прицельно атакует как банки, так и прочие учреждения: кредитные союзы, системы розничного банковского обслуживания и платформы для электронной коммерции. В число пострадавших успели попасть 22 финансовых организации из США и еще две из Канады. Несмотря на то, что вредоносную кампанию заметили лишь в апреле, GozNym успел принести своим создателям миллионы долларов.

Специалисты также показали, как распределены атаки по различным финансовым организациям:

1 4

Также отмечается, что исходные коды банковской малвари Gozi попадали в Интернет дважды – в 2010 и 2015 годах. Исходники вредоноса Nymaim, который зачастую использовали в роли дроппера для вымогательского программного обеспечения, никогда не были в открытом доступе. В связи с этим эксперты IBM сделали вывод, что создателями новой гибридной угрозы могут быть авторы Nymaim.

ЧИТАЙТЕ ТАКЖЕ: Министерство нацбезопаности США порекомендовало срочно удалить программу Apple

Стало известно, что гибридная малварь распространяется в составе различных эксплоит-китов и на скомпрометированных злоумышленниками сайтах.

От двух вирусов гибридный GozNym взял лучшее: дроппер Nymaim отвечает за доставку фактического вредоноса в систему. Как уверяют специалисты, Nymaim действует скрытно и использует специальные техники, чтобы не выдать себя. В частности, дроппер применяет шифрование, проверяет, не запущен ли он на виртуальной машине, и мешает работе дебагинговых инструментов. Кроме того, он использует обфускацию потока команд, которыми обменивается с управляющим сервером. В свою очередь, банкер Gozi широко известен в среде киберпреступников. В связи с неоднократными утечками исходного кода Gozi стал довольно популярной “платформой” для создания малвари. Данный вирус атакует браузеры, имеет модули, похожие на аналогичные решения в банкерах SpyEye и Zeus, а также в состоянии осуществлять веб-инъекции и манипулировать данными веб-сессий.

Однако эксперты отмечают, что проанализированный ими образчик трояна без проблем обнаруживается большинством антивирусов.

Напомним, ранее хакеры продемонстрировали возможность перехватить разговоры и SMS любого пользователя iPhone.