Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Atacantes detrás de troyano Goznym tienen como objetivo Europa
A tan sólo unas semanas de haber sido descubierto el malware bancario GozNym, según los informes se ha expandido en Europa y ha comenzado a acosar a clientes bancarios en Polonia con ataques de redirección.
El malware ha empezado con objetivos corporativos, SMB, banca de inversión y cuentas de consumidores en los bancos, incluyendo algunos en Portugal y los Estados Unidos, además de Polonia, de acuerdo a los investigadores del equipo X-Force de IBM.
En los ataques, los clientes del banco son redirigidos a réplicas de páginas reales de sus bancos y con engaños proporcionan información confidencial como credenciales y códigos de autenticación. Con GozNym, los atacantes engañan a los usuarios mostrándoles los URL y certificados SSL reales de sus bancos. Una máscara de superposición, facilitada por un servidor con base en Moscú, cubre la página, ocultando cualquier contenido malicioso en la página de phishing, algo que hace se vea normal para los usuarios y del mismo modo para investigadores.
Limor Kessem, un experto en seguridad cibernética de IBM, describió la última iteración del malware en un mensaje sobre --el blog Security Intelligence de la compañía.
Después un usuario es redirigido a la página maliciosa, la superposición es retirada y son alentados los usuarios a introducir su nombre de usuario y contraseña bancaria. A partir de ahí, la información es disparada a otro servidor.
"Después de empezar el inicio de sesión falso, el malware muestra una pantalla con retardo a través de webinjection para pedir a la víctima que espere," Kessem escribió, "mientras que la víctima está en espera, el defraudador consulta al servidor C&C para webinjections adicionales para engañar a los usuarios a divulgar más información sobre sus cuentas."
De acuerdo con Kessem el malware tiene instrucciones de redireccionamiento para 17 bancos y cuenta con 230 URL adicionales para ayudar a los atacantes en la focalización de los bancos comunitarios y proveedores de servicios de correo electrónico en Polonia.
El troyano GozNym apareció a principios del mes de abril después de otros dos troyanos, Nymaim y Gozi, fusionados. Los atacantes usaron el troyano para robar 4 millones de 24 bancos, incluyendo 22 en los Estados Unidos y dos en Canadá, en tan sólo en dos semanas. El malware es distribuido principalmente a través de correos electrónicos no deseados que atraen a los destinatarios a abrir los archivos adjuntos.
