همکاری تروجان‌های بانکداری Nymiam و Gozi و سرقت ۴ میلیون دلار!

دو تروجان قوی به نام Nymaim و Gozi ISFB با یکدیگر ترکیب شده‌اند و یک موجود دو سر به نام GozNym ایجاد کرده‌اند. براساس گزارش IBM X-Force این تروجان جدید تنها از دو هفته پیش که کشف شد، ۴ میلیون دلار به سرقت برده است. این موسسه گزارش داد که این تروجانِ ترکیبی در حال حاضر درگیر عملیاتی است که بر روی ۷۲ درصد از موسسه‌های بانکی، واحدهای اعتباری و بانک‌های کوچکتر تمرکز کرده است.
لیمور کسیم یکی از متخصصان امنیتی واحد تحقیقاتی IBM X-Force طی مصاحبه‌ای گفت: «GozNym یک تروجان به شدت مخفی است که بهترین خصوصیات Nymaim و Goz ISFB را با هم ترکیب کرده است و یک تهدید بسیار مشکل ساز ایجاد کرده است. تعداد حملاتی که این تروجان تنها در ماه آوریل صورت داده، به شدت بالا است.
این پژوهش‌گر اضافه کرد: «تروجان از طریق رایانامه‌ای با ماکروهای مخرب و در یک پیوست آلوده به بدافزار، منتقل می‌شود. سپس مجرمان سایبری با این کد بدافزار مرورگر قربانی را دستکاری کرده و اعتبارات وی را به سرقت می‌برند، و بدین ترتیب به حساب بانکی قربانی دست‌رسی پیدا کرده و در نهایت عملیات سرقت پول شروع می‌شود.»
او گفت تا حالا کسی نشنیده است این دو تروجان ترکیب شوند و دنیای امنیت اطلاعات هم مدت زیادی است که چنین چیزی را ندیده است. سال گذشته تروجان Shifu ترکیبی از چند بدافزار قدرتمند سال به نام‌های Shyz، Gozi زئوس و Dridex بود. تروجان GozNym هم مانند Shifu یک موجود دو سر است.
او گفتGozNym یک تروجانِ ترکیبی قدرتمند است که در آن دو کد برای اجرای عملیات داخلی بدافزار به یکدیگر تکیه دارند. این دو تروجان با همدیگر خیلی بهتر از زمانی که از هم جدا هستند کار می‌کنند.

براساس گزارش IBM X-Force، تروجان GozNym، ویژگی Nymiam که برای آلوده کردن سامانه از تزریق بدافزار دو مرحله‌ای تروجان استفاده می‌کند را داراست. پس از اینکه این تروجان به رایانه‌ای نفوذ کرد جز Nymiam تروجان GozNym قسمت‌هایی از Gozi IFSB راه اندازی می‌کند که مسئول تزریق کتابخانه پیوند مخرب پویا (DLL) می‌باشد.
لیمور کسیم در توضیح فنی این تروجان نوشت: «پیش از اینکه این دو تروجان با هم ترکیب شوند و یک تروجان حقیقی بسازند، از نسخه‌های قبلی Nymiam برای راه‌اندازی واحد مالی Gozi ISFB با عنوان یک DLL کامل برای مرورگر آلوده شدده‌ی قربانی استفاده می‌شد، تا تزریقات وب روی وب‌گاه‌های بانکداری برخط را آلوده کند. GozNym برای اولین بار اوایل آوریل سال ۲۰۱۶ کشف شد».
اواخر سال ۲۰۰۷ تروجان Gozi اولیه، مسئول حملاتی بود که علیه بانکداری برخط شکل گرفته بود و می‌توانست اطلاعات SSL را با استفاده از دستورالعمل Winsock۲ پیشرفته به سرقت ببرد.
Nymiam اولین بار در سال ۲۰۱۳ کشف شد و به عنوان یک باج‌افزار شناخته شد. اما طبق گزارش X-Force یک سوم شخص کد منبع این دو تروجان را ترکیب کرده است و GozNym را ساخته است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap