Эксперты пресекли работу ботнета GozNym

Эксперты пресекли работу ботнета GozNym

Специалисты смогли взломать алгоритм DGA, используемый трояном для связи с C&C-серверами.

image

Специалисты Cisco Talos остановили работу одного из ботнетов, организованных гибридным банковским трояном GozNym, сочетающим функционал двух известных вредоносов Gozi и Nymaim. В настоящее время команда принимает меры по пресечению деятельности остальных ботнетов GozNym.

Экспертам удалось остановить работу ботнета, взломав алгоритм генерации доменных имен (DGA), используемый трояном для связи с постоянно меняющимися C&C-серверами злоумышленников. По данным Cisco Talos, ботнет включает по меньшей мере 23 062 инфицированных хостов, большинство из которых расположены в Германии, США, Польше, Канаде и Великобритании.

Исследователи зафиксировали несколько целевых фишинговых кампаний по распространению вредоносного ПО GozNym. В ходе атак злоумышленники рассылали вредоносные документы Microsoft Word, содержащие загрузчик, который загружал и выполнял вредоносный код.

В апреле нынешнего года троян GozNym был замечен в ряде кампаний, направленных на пользователей в США и Канаде, а затем распространившихся на Европу. Спустя несколько месяцев специалисты buguroo Threat Intelligence Labs  зафиксировали новый виток атак с использованием GozNym, нацеленных на банки и финансовые сервисы в Испании, Польше, Японии и в ряде случаев – на пользователей из Канады, Италии и Австралии.

В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!