Dernier venu sur le marché des Trojan, GozNym combine les caractéristiques furtives de Nymaim, et les capacités du cheval de Troie Gozi ISFB spécialisé dans le ciblage du secteur bancaire, ce qui en fait un puissant vecteur d’attaque. Selon l’équipe de sécurité X-Force d'IBM, le malware est désormais utilisé dans une vaste campagne contre des institutions financières européennes, dont 17 grandes banques polonaises, une institution financière portugaise, mais il cible aussi des entreprises et des PME diverses. Le très large spectre d'attaque du malware est une première en Pologne : près de 230 URL ciblent les sites web de banques de détail et de fournisseurs de services de messagerie polonais.
Au cours de la première quinzaine d’avril, les chercheurs d'IBM avaient découvert que le Trojan hybride était utilisé pour mener une vaste campagne contre plus de 24 banques américaines et canadiennes, des instituts de crédit et des plates-formes de commerce électronique, et qu’il était parvenu à voler des millions de dollars en quelques semaines seulement. GozNym est très subtile : il est capable de copier les informations d'identification de l'utilisateur, mais il sait aussi crypter les données, se protéger des machines virtuelles et contrôler le brouillage des flux pour rester discret et éviter d’être démasqué.
De faux sites bancaires pour tromper les clients
Certaines procédures de redirection ont déjà été utilisées avec succès par Dyre et Dridex dans des attaques réelles, mais les auteurs à l’origine du Trojan hybride GozNym ont doté le malware de capacités particulières qui lui permettent de masquer ses attaques et d’agir sans être repéré par les spécialistes de la sécurité. Toute la stratégie repose sur l’utilisation d’un site web frauduleux. La redirection de GozNym oriente les victimes, à leur insu, vers un faux site - généralement par l’entremise d’un malware intégré à un spam - qui ressemble comme deux gouttes d’eau au site en ligne de la banque, contournant ainsi les mesures de sécurité de la banque. Ensuite, les attaquants n’ont plus qu’à récupérer les informations d'identification renseignées sur le faux site par la victime et les données d'authentification à deux facteurs, nécessaires pour accéder au vrai compte bancaire et voler de l’argent.
Selon l'équipe X-Force d’IBM, il ne fait aucun doute que le Trojan GozNym est en train de devenir une menace sérieuse pour les institutions financières, et celles-ci devraient se préparer à contrer des attaques de plus en plus fréquentes, les grandes banques en particulier. En plus des solutions de détection des malwares et de protection des terminaux clients, IBM recommande aux utilisateurs qui veulent éviter d’être infectés par des logiciels malveillants « de mettre systématiquement à jour leur système d'exploitation et les applications les plus couramment utilisées avec la dernière version disponible, et de supprimer les applications qu'ils n’utilisent plus ».
Attention aux pièces jointes
Sur le blog de l’équipe X-Forme, Limor Kessem, conseiller en sécurité d’IBM, écrit également que « pour prévenir une infection par le Trojan, il est important de désactiver les publicités et d'éviter les sites sensibles généralement utilisés comme base d'infection. Il rappelle aussi qu’il est capital de ne jamais cliquer sur des liens ou des pièces jointes contenues dans les courriels non sollicités.
Commentaire