IBM：從北美數間銀行盜走數百萬美元的金融木馬GozNym已蔓

william77

GozNym結合隱形及持久攻擊的木馬程式Nymaim的隱形與持久優點，以及Gozi ISFB的竊取金融資訊能力，今年4月攻擊美國及加拿大的24家銀行，盜走數百萬美元，IBM X-Force指該金融木馬已鎖定攻擊13家德國的銀行與分行。

IBM X-Force研究團隊在今年4月揭露了一隻結合Nymaim及 Gozi ISFB的木馬程式GozNym，該團隊於本周指出 ，GozNym已蔓延至德國，攻擊13家德國境內的銀行與分行。
GozNym結合了Nymaim的隱形與持久優點，並利用Gozi ISFB竊取金融資訊的能力，最早是在今年4月攻擊了24家位於美國及加拿大的銀行，短短幾天便盜走數百萬美元，當時是針對被駭網站進行注入攻擊，隨後新增重導攻擊（redirection attack）能力，並鎖定波蘭及美國，現則已蔓延至德國。
重導攻擊之所以會成功是因為它在使用者造訪真正的金融網站前將流量導至惡意網站，該惡意網站偽裝成合法的金融網站以竊取使用者憑證。由於重導攻擊必須維護及更新各種不同的假網站，需要大量資源與開發人員，通常是組織化的駭客集團所為。IBM相信GozNym及Nymaim是來自同一個駭客集團。
IBM指出，重導攻擊是網路犯罪領域少見的能力，同樣以重導攻擊聞名的Dyre主要攻擊英文國家及西班牙，但GozNym卻展現了豐富的資源與行動力，問世不到半年就鎖定了3種不同語言且各自 相異的金融系統。
IBM基於活躍程度列出了全球前十大的金融金馬程式，初生之犢GozNym已登上第八名，佔所有金融攻擊行動的6%。
事實上，從今年4月到7月，GozNym的攻擊行動便成長了526%，顯示這是一隻非常具有攻擊性的金融木馬，IBM認為GozNym 將會加快攻擊腳步，並持續擴大重導攻擊至其他金融組織，呼籲金融業者應該採用合宜的惡意程式偵測解決方案，使用者則應確實執行系統及程式更新，也勿輕信來路不明的電子郵件。