Nymaim und Gozi stehlen gemeinsam 4 Millionen Dollar

Zwei bekannte Trojaner, Nymaim und Gozi, wurden zu einer Einheit verschmolzen, und diese daraus entstandene „zweiköpfige Schlange“ erhielt den Namen GozNym. Der neue Hybrid hat es nach Angaben von IBM X-Force Research bereits fertig gebracht, 4 Millionen Dollar zu stehlen, obgleich er erst vor zwei Wochen entdeckt wurde. Die Forscher beobachten eine aktive Cyberkampagne, wobei 72% der Ziele auf Banken, Kreditinstituten und Finanzunternehmen in den USA entfallen.

„GozNym ist ein Trojaner, der absolut im Verborgenen agiert, wobei die besten Eigenschaften von Nymaim und dem kommerziellen Schädling Gozi zu einer äußerst problematischen Bedrohung kombiniert wurden“, erklärte die IT-Sicherheitsexpertin aus der Forschungsabteilung von IBM, Limor Kessem, gegenüber Threatpost. „Die Zahl der GozNym-Attacken ist sehr hoch für einen Schädling, der erst im April in Erscheinung getreten ist.“ Den ersten Hybrid aus Nymaim und Gozi entdeckte das X-Force-Team Anfang des laufenden Monats.

Nach Aussage von Kessem verbreitet sich der neue Trojaner in erster Linie über E-Mails mit Anhängen, die ein schädliches Makro enthalten. Die Cyberkriminellen manipulieren den Browser des Opfers, stehlen Konto-Zugangsdaten und heben Geld von seinem Konto ab.

Eine trojanische Kombi ist keine Neuheit für die IT-Sicherheitscommunity, so handelt es sich bei dem im letzten Jahr in Erscheinung getretenen Banken-Schädling Shifu um eine komplizierte Legierung aus fremden Codes aus unterschiedlichen Zeiten, darunter auch Technologien, die in den Schadprogrammen Shiz, Gozi, ZeuS und Dridex zum Einsatz kommen. Auf ähnliche Weise wurde auch GozNym entwickelt: Beide Codes koexistieren in ihm und helfen sich gegenseitig beim Ausführen der schädlichen Funktionen. „Zusammen funktionieren beide Trojaner wesentlich effektiver als einzeln“, räumt Kessem ein.

Von Nymaim hat der Hybrid den zweiphasigen Infektionsprozess übernommen. Laut IBM X-Force beginnt die Nymaim-Komponente nach dem Eindringen in den Computer, die Gozi-Module zu laden, die für das Einschleusen der schädlichen dynamischen Bibliothek verantwortlich sind.

„Noch vor der Verschmelzung mit Gozi haben frühe Nymaim-Versionen schon häufig das Finanzmodul von Gozi in Form einer vollwertigen DLL in den Browser des Opfers geladen und eingeschleust, um Web-Injects auf Bank-Websites durchzuführen“, erläutert Kessem die Vorgeschichte des neuen Schädlings.

Zur Erinnerung: Der modulare Trojaner Gozi, alias Papras und später auch Neverquest, Rovnix und Vawtrak (im Prinzip handelt es sich bei allen um Gozi Version 2.0), macht Bankkunden bereits seit Ende 2006 Ärger. Schon seit Anbeginn seiner Existenz setzte er die Forscher durch seine Fähigkeit in Erstaunen, Bankrequisiten aus Web-Musterformularen unter Umgehung des SSL-Schutzes zu stehlen. Der Nymaim-Downloader wurde erstmals im Jahr 2013 entdeckt und als Erpresserschädling identifiziert, der den Desktop blockiert. Die Forscher von IBM nehmen an, dass der neue Hybrid infolge eines wiederholten Durchsickerns des Gozi-Quellcodes Ende vergangenen Jahres (das erste Mal passierte es im Jahr 2010) entstanden ist.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.