Двоголовий монстр в світі вірусів: GozNym



Співробітники IBM X-Force Research виявили новий троян, який є гібридом досить відомих шкідників Nymaim і Gozi ISFB. Виявилося, що розробники Nymaim поєднали вихідний код цього вірусу з частиною коду Gozi ISFB. Вийшов гібрид, який активно використовувався при атаках на мережі 24 банків США і Канади. За допомогою цього malware вдалося вкрасти мільйони доларів. Гібридний вірусний продукт отримав назву GozNym.

За словами фахівців з інформаційної безпеки, цей гібрид взяв найкраще від двох згаданих вище вірусів: від Nyamaim шкідник успадковував вміння приховувати свою присутність антивірусів, від Gozi — можливість проникати на ПК користувачів. GozNym неофіційно назвали «двоголовим монстром».

Таргетинг: фінансові організації Північної Америки

Розробники нового вірусу направили його на організації Північної Америки – в США і Канаду. В даний час відомо про 22 постраждалих від вірусу банках, кредитних організаціях і популярних e-commerce платформах. Також у списку дві фінансові компанії з Канади.



Вихідний код — звідки він?

Як був створений гібрид? Вище вже говорилося про те, що цей вірус складається з двох частин інших шкідників. Вихідний код першого, Gozi ISFB, неодноразово викладався в Мережу. Вперше це сталося в 2010 році. Другий раз — у 2015 році, коли в Інтернет були викладені исходники модифікованої версії цього ПО.

Що стосується Nymaim, то єдиним можливим джерелом вихідного коду є його розробники. Найімовірніше, саме команда Nymaim взяла частину коду Gozi ISFB, поєднала зі своїм продуктом, отримавши «Франкенштейна в світі вірусів».

Від Nymaim до GozNym

Nymaim діє в два етапи. Спочатку цей шкідник проникає на комп'ютери, використовуючи набори експлойтів, і після потрапляння на ПК виконує другий етап — запуск двох виконуваних файлів, які завершують зараження машини жертви.

Вихідний вірус, Nymaim, використовує шифрування, anti-VM, антидебаггинг і обфускацію послідовності виконання програмного коду, тобто заплутування потоку управління. До цього моменту цей вірус використовувався в основному в якості дроппера. Дропперы (англ. Dropper) — сімейство шкідливих програм (як правило, це троянська програма), призначених для несанкціонованого і прихованої від користувача установки на комп'ютер жертви інших шкідливих програм, що містяться в самому тілі дроппера або завантажуються з мережі. Даний тип шкідливих програм зазвичай без будь-яких повідомлень (або з помилковими повідомленнями про помилку в архіві, невірної версії операційної системи і т. д.) завантажує з мережі і зберігає на диску жертви файли з їх подальшим виконанням.

Nymaim, наскільки відомо, створений командою розробників, які керують цим шкідником вже кілька років. На даний момент сліди присутності дроппера виявлені на ПК користувачів Європи, Північної Америки, Південної Америки.

Звичайно, далеко не всі операції зловмисників, що виконуються з використанням Nymaim, задокументовані. Тим не менш, є дані про 2,5 мільйони заражень з використанням Blackhole Exploit Kit (BHEK) тільки в кінці 2013 року.



Дослідники з IBM відзначають, що Nymaim почав використовувати модуль Gozi ISFB, DLL, відповідальну за веб-ін'єкції, з 2015 року. Фінальна версія гібрида, яка є повноцінною інтеграцією двох зловредів, була виявлена тільки в квітні 2016 року. У своїй гібридної інкарнації Nymaim виконується в першу чергу, а потім йде вже запуск виконуваного модуля Gozi ISFB.

Трохи технічної інформації

Перш ніж злитися в єдине ціле, шкідник Nymaim використовував DLL Gozi ISFB для впровадження в браузер жертви і для проведення веб-ін'єкцій. Розмір DLL становив близько 150 КБ і представляв собою валідний Portable Executable (PE) файл.
Нові версії Nymaim стали використовувати DLL, а сам код Gozi ISFB. Замість 150 КБ файлу, Nymaim тепер виконує ін'єкцію 40 КБ буфера в браузер. Цей буфер володіє всіма ознаками Gozi ISFB. Але є і відмінності: зараз це вже не дійсний РЕ файл, його структура і інша являє собою шелл-код. Тут використовується Import Address Table (IAT) і немає РЕ-заголовка.


Стара версія Nymaim, де використовується Gozi ISFB DLL


Новий буфер і нова функція гібрида jmp_nymaim_code (нижче)



Ця частина коду виконується завжди, коли Gozi ISFB потрібно Nymaim для проведення операції. В даному випадку функція готує необхідні параметри, тип операції, розмір виділюваної пам'яті і т. п. для Nymaim. Потім Nymaim вступає в роботу і повертає результат для Gozi ISFB.

MD5 хеш в цьому випадку — 2A9093307E667CDB71884ECC1B480245.

Як захиститися?

Зробити це не так і просто. Описаний вище шкідник є унікальним і може створити великі проблеми як приватній особі, так і всієї компанії. Для того, щоб уникнути такого розвитку подій, варто слідувати звичайним правилам роботи з інформацією в організаціях.

Правда, це далеко не завжди допомагає, особливо, якщо в компанії багато співробітників, які працюють з комп'ютерною технікою з виходом в Мережу.

У цьому разі рекомендуємо також використовувати наші інструменти захисту: IBM Security Trusteer Pinpoint Malware Detection, IBM Security Trusteer Rapport. Зазначені сервіси забезпечують своєчасне виявлення заражених пристроїв у мережі, знищення malware, якщо система заражена, плюс запобігають процес, використовуючи різні методи захисту.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.