Nymaim et Gozi ont volé conjointement 4 millions de dollars

Deux trojans connus, Nymaim et Gozi, ont été fusionnés pour donner naissance à un monstre à deux têtes baptisé GozNym. D’après IBM X-Force Research, l’hybride ainsi obtenu a déjà réussi à voler 4 millions de dollars américains alors que sa découverte remonte à deux semaines seulement. Les chercheurs étudient cette cybercampagne active dont les cibles sont composées à 72 % d’institutions bancaires, de sociétés de crédit et de banques de détail.

Limor Kessem, expert en sécurité informatique du département d’enquête d’IBM, a déclaré à Kaspersky Lab que « GozNym est trojan extrêmement furtif qui unit le meilleur de Nymaim et du malware commercial Gozi pour poser un problème très grave. Le nombre d’attaques imputables à GozNym est très élevé pour un malware qui est apparu en avril. » L’équipe X-Force a détecté le premier hybride de Nymaim et Gozi au début du mois.

Selon Limor Kessem, ce nouveau trojan se propage principalement via une pièce jointe contenant une macro malveillante diffusée par courrier électronique. Les individus malintentionnés manipulent le navigateur de la victime, volent les identifiants et retirent de l’argent du compte.

Les combinaisons de chevaux de Troie ne constituent pas une nouveauté pour les experts en sécurité de l’information ; le malware bancaire Shifu créé de cette manière l’année dernière est le fruit de la fusion de deux codes issus d’époques différentes, dont des technologies exploitées par Shiz, Gozi, ZeuS et Dridex. GozNym a été créé de la même manière ; les deux codes coexistent et s’entraident pour exécuter les fonctions malveillantes. « Ensemble, ces deux trojans sont plus efficaces que chacun pris séparément » reconnaît Limor Kessem.

Le malware hybride a hérité du processus d’infection en deux étapes de Nymaim. D’après IBM X-Force, une fois que le composant Nymain s’est introduit sur l’ordinateur, il commence à télécharger les modules de Gozi chargé d’introduire la bibliothèque dynamique malveillante.

« Avant la fusion avec Gozi, les versions antérieures de Nymaim téléchargeaient et introduisaient souvent dans le navigateur de la victime le module financier Gozi sous la forme d’une DLL à part entière afin de réaliser des injections Internet sur les sites bancaires » explique Limor Kessem dans sa description du nouveau malware.

Pour rappel, le trojan modulaire Gozi, connu également sous le nom de Papras, puis qui est devenu Neverquest, Rovnix et Vawtrak (ils sont tous en réalité la version 2.0 de Gozi), attaque les clients de banques depuis la fin de l’année 2006. A ses débuts, il avait impressionné les chercheurs par sa faculté à voler informations d’authentification de sites de banque électroniques dans les formulaires typiques en contournant la protection SSL. La découverte du downloader Nymaim remonte à 2013 et il avait été classé parmi les ransomwares qui bloquaient le bureau. Les experts d’IBM supposent que ce nouvel hybride a été créé suite à une nouvelle fuite du code source de Gozi survenue à la fin de l’année dernière (la première avait eu lieu en 2010).

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *