Los usuarios de los 13 bancos alemanes y sus filiales son el blanco de una nueva y mejorada versión del troyano bancario GozNym, IBM X-Force informa.
GozNym apareció en abril de 2016, e inicialmente dirigido a los usuarios en los EE.UU. y Canadá, el uso de los llamados "ataques de inyección Web", un proceso en el que el troyano se hace cargo el navegador del usuario y muestra el contenido falso cuando se accede a un portal bancario.
Esta es la técnica prevalente utilizado por la mayoría de los troyanos bancarios hoy en día, y su origen está en la banca troyano código fuente Gozi que se filtró en Internet en 2014. GozNym en sí es un troyano híbrida compuesta por código tomado de los troyanos y GOZI Nymaim.
GozNym desplazando a los ataques de redirección
Dos semanas después de GozNym fue visto en primer lugar, los ladrones detrás de malware comenzaron a experimentar con otra técnica llamada "ataque de redirección", que es cuando el malware se redirige a los usuarios a un portal bancario falso, alojado en los servidores de la banda GozNym.
Sólo el troyano bancario Dyre había utilizado previamente ataques de redirección. El troyano bancario Dridex también desplegó ataques de redireccionamiento en un punto, pero nunca fue su principal modo de operación.
La versión GozNym que utiliza ataques de redirección fue visto por primera vez en Polonia en abril y luego desplegado en masa contra los bancos en los EE.UU. en junio.
Las inundaciones masivas el spam da GozyNym troyano bancario
De acuerdo con los últimos datos de telemetría, la banda GozNym está desplegando versiones GozNym que utilizan redirecciones contra los usuarios en Alemania y están utilizando las inundaciones masivas de spam para hacerlo.
IBM informa que GozNym correo no deseado ha subido 3,550 por ciento en comparación con el mes anterior de julio. Sólo en el mes de agosto, la banda GozNym ha enviado cinco veces más spam en comparación con todo el sombrero ataques han tenido lugar en los cuatro meses anteriores juntos.
"En cuanto a la línea de tiempo GozNym, es evidente que la banda que opera el programa malicioso tiene los recursos y con experiencia para implementar sofisticadas tácticas de delitos informáticos contra los bancos", escribe Limor Kessem. "El proyecto es muy activo y evolucionando rápidamente, por lo que es probable que se extienda a otros países a través del tiempo."
