Hybrider Banking-Trojaner GozNym führt zu Millionenschaden
Angreifer fusionierten den Code des Malware-Droppers Nymaim und des Banking-Troajners Gozi ISFB. Das Ergebnis ist eine noch bedrohlichere Schadsoftware. Binnen weniger Tage stehlen sie Millionen Dollar von mehr als 24 amerikanischen und kanadischen Banken.
Kriminelle haben binnen weniger Tage mehrere Millionen Dollar von mehr als 24 amerikanischen und kanadischen Banken erbeutet, indem sie den Code von zwei Malwarevarianten miteinander kombiniert haben. Sicherheitsforscher von IBM X-Force beleuchteten die Hintergründe dieser Raubzüge. Die hybride Malware sehen sie als “doppelköpfiges Monster”. Obwohl es nicht zweifelsfrei zu belegen ist, vermuten die Experten die Autoren in Osteuropa.
Die Kriminellen kombinierten Code von Nymaim und Gozi ISFB, um einen als GozNym bezeichneten Trojaner zu kreieren, der insbesondere zum Online-Banking-Betrug geeignet ist. Bei Nymaim handelt es sich um einen Malware-Dropper, welcher in zwei Phasen agiert. Er infiltriert Rechner in der Regel mithilfe von Exploit-Bausätzen wie Blackhole und nutzt anschließend eine zweite ausführbare Datei.
Bereits für sich genommen ist Nymaim ein Trojaner, der sich mittels Verschlüsselung und weiteren ausgeklügelten Techniken wirksam gegen seine Entdeckung schützen kann. Als Banking-Malware gilt er erst seit November 2015. Vorher wurde er nahezu ausnahmslos verwendet, um Erpresser-Software auf Rechnern einzuschleusen.
Die Schadsoftware Gozi ISFB injiziert derweil Skripte in den Browser, um mit deren Hilfe Anmeldeinformationen abzugreifen, wenn Betroffene eine Banking-Site besuchen. X-Force zufolge ist dieser Trojaner besonders effektiv darin, Antiviren-Software zu meiden und Bank-Anmeldedaten abzufangen, um die Konten plündern zu können. Da Quellcode dieser Malware durchsickerte, konnten sich die Hintermänner von Nymaim daran bedienen.
Nymaim wurde mit Gozi ISFB jetzt um einen weiteren Schritt in der Infektionskette erweitert. Ende 2015 bemerkten die IBM-Forscher, dass Nymaim ein Gozi-ISFB-Modul nachzuladen begann. Konkret handelte es sich um eine Webinjection-DLL (Dynamic Link Library), die für Online-Banking-Attacken verwendet werden. Anfang April 2016 wurde GozNym schließlich als kombinierte Variante erkannt, bei der Nymaim mit Code aus Gozi ISFB zu einer Malware rekompiliert wurde. Neuere Versionen enthalten darüber hinaus veränderten Gozi-ISFB-Code.
“Die Verschmelzung von Nymaim und Teilen von Gozi ISFB hat einen neuen Trojaner in der Wildbahn hervorgebracht”, sagt Limor Kessem, Executive Security Advisor von IBM. “Die Malware ist so gut getarnt und hartnäckig wie der Nymaim-Loader, während er zugleich die Fähigkeit besitzt, Websitzungen zu manipulieren, was hochentwickelte Online-Banking-Angriffe ermöglicht.”
[mit Material von Bernd Kling, ZDNet.de]