Infos

Nymaim et Gozi ont volé conjointement 4 millions de dollars

Deux trojans connus, Nymaim et Gozi, ont été fusionnés pour donner naissance à un monstre à deux têtes baptisé GozNym. D’après IBM X-Force Research, l’hybride ainsi obtenu a déjà réussi à voler 4 millions de dollars américains alors que sa découverte remonte à deux semaines seulement. Les chercheurs étudient cette cybercampagne active dont les cibles sont composées à 72 % d’institutions bancaires, de sociétés de crédit et de banques de détail.

Limor Kessem, expert en sécurité informatique du département d’enquête d’IBM, a déclaré à Kaspersky Lab que « GozNym est trojan extrêmement furtif qui unit le meilleur de Nymaim et du malware commercial Gozi pour poser un problème très grave. Le nombre d’attaques imputables à GozNym est très élevé pour un malware qui est apparu en avril. » L’équipe X-Force a détecté le premier hybride de Nymaim et Gozi au début du mois.

Selon Limor Kessem, ce nouveau trojan se propage principalement via une pièce jointe contenant une macro malveillante diffusée par courrier électronique. Les individus malintentionnés manipulent le navigateur de la victime, volent les identifiants et retirent de l’argent du compte.

Les combinaisons de chevaux de Troie ne constituent pas une nouveauté pour les experts en sécurité de l’information ; le malware bancaire Shifu créé de cette manière l’année dernière est le fruit de la fusion de deux codes issus d’époques différentes, dont des technologies exploitées par Shiz, Gozi, ZeuS et Dridex. GozNym a été créé de la même manière ; les deux codes coexistent et s’entraident pour exécuter les fonctions malveillantes. « Ensemble, ces deux trojans sont plus efficaces que chacun pris séparément » reconnaît Limor Kessem.

Le malware hybride a hérité du processus d’infection en deux étapes de Nymaim. D’après IBM X-Force, une fois que le composant Nymain s’est introduit sur l’ordinateur, il commence à télécharger les modules de Gozi chargé d’introduire la bibliothèque dynamique malveillante.

« Avant la fusion avec Gozi, les versions antérieures de Nymaim téléchargeaient et introduisaient souvent dans le navigateur de la victime le module financier Gozi sous la forme d’une DLL à part entière afin de réaliser des injections Internet sur les sites bancaires » explique Limor Kessem dans sa description du nouveau malware.

Pour rappel, le trojan modulaire Gozi, connu également sous le nom de Papras, puis qui est devenu Neverquest, Rovnix et Vawtrak (ils sont tous en réalité la version 2.0 de Gozi), attaque les clients de banques depuis la fin de l’année 2006. A ses débuts, il avait impressionné les chercheurs par sa faculté à voler informations d’authentification de sites de banque électroniques dans les formulaires typiques en contournant la protection SSL. La découverte du downloader Nymaim remonte à 2013 et il avait été classé parmi les ransomwares qui bloquaient le bureau. Les experts d’IBM supposent que ce nouvel hybride a été créé suite à une nouvelle fuite du code source de Gozi survenue à la fin de l’année dernière (la première avait eu lieu en 2010).

Fonte: Threatpost

Nymaim et Gozi ont volé conjointement 4 millions de dollars

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception