GozNym
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
Nível da Ameaça: | 50 % (Médio) |
Computadores infectados: | 3 |
Visto pela Primeira Vez: | April 15, 2016 |
Visto pela Última Vez: | February 14, 2019 |
SO (s) Afetados: | Windows |
O GozNym é uma infecção por Trojan que combina duas ameaças conhecidas e muito destrutivas: o Gozi ISFB e o Nymaim. O nome do GozNym é composto por uma combinação dos nomes dessas duas ameaças. O GozNym representa uma séria ameaça à segurança de um computador e está sendo usado atualmente em estado selvagem. O GozNym contém os recursos das duas ameaças nas quais o GozNym se baseia, para criar uma ameaça que é particularmente difícil de se lidar. Atualmente, o GozNym está sendo usado para atacar bancos e instituições financeiras, varejistas, bancos comerciais e cooperativas de crédito em particular. O GozNym foi descoberto no início de abril e em apenas poucas semanas o GozNym tinha conseguido desviar mais de 4 milhões USD de instituições financeiras ao redor do mundo. É importante tomar medidas urgentes para proteger os computadores que correm o risco de serem atacados pelo GozNym. O uso de um programa de segurança confiável que esteja totalmente atualizado e capaz de detectar tanto o GozNym quanto as ameaças nas quais se baseia esse Trojan é altamente recomendado.
A Combinação Fatal que Deu Origem ao Trojan GozNym
Os pesquisadores de segurança do PC descobriram o GozNym ao observar o que parecia ser um híbrido do Gozi ISFB e do Nymaim. Aparentemente, os criadores do Nymaim recompilaram o código-fonte dessa ameaça e incluíam porções do Gozi ISFB em seu código para dar-lhe novos recursos. A combinação dessas duas ameaças resultou em uma ameaça que foi usada para atacar mais de 24 bancos nos Estados Unidos e no Canadá. Desde a sua criação, apenas duas semanas antes deste relatório ter sido escrito, o GozNym tem sido usado para coletar milhões de dólares.
O GozNym tem as melhores características de cada um dos seus componentes. O GozNym usa o dropper altamente eficaz do Nymaim e os mecanosmos de infiltração e recursos do Gozi ISFB para tomar dinheiro e dados financeiros das vítimas. O Nymaim, conhecido por sua persistência e furtividade, permite que o GozNym invada um computador sem ser detectado e seja executado em segundo plano sem alertar a vítima ou o software de segurança do computador afetado. O GozNym usa o Gozi ISFB para enganar os usuários de computador através de seus navegadores de rede. Essa fusão tem provado ser altamente eficaz na realização de ataques a usuários de computador inocentes.
Como o GozNym Se Propaga
O GozNym está sendo espalhado através de anexos de email corrompidos. Documentos ameaçadores associados ao GozNym podem aproveitar uma vulnerabilidade no Microsoft Office que permite a execução do código corrompido quando os macros são ativados. Uma vez no computador da vítima, o GozNym assume o navegador da vítima para coletar credenciais de bancos on-line e números de cartão de crédito. O GozNym também pode tirar dinheiro de contas bancárias, manipulando a forma como a vítima se conecta à Internet, e injetando seus próprios dados no navegador da vítima. A combinação dos antecessores do GozNym funciona muito melhor para realizar esses ataques do que essas duas ameaças individualmente.
O GozNym usa duas fases do Trojan dropper do Nymaim para realizar os seus ataques, uma característica dessa ameaça que já tinha chamado a atenção dos pesquisadores de segurança do PC. Isso significa que o GozNym entra no computador da vítima através de um kit de exploração ou de uma mensagem de email corrompida e, em seguida, instala a segunda fase da sua carga, que é quando o GozNym entra no computador da vítima. Essencialmente, o GozNym usa dois arquivos executáveis para realizar o seu ataque. Há vestígios de um possível híbrido destas duas ameaças; versões anteriores dessa ameaça podem ter usado o dropper do Nymaim para injetar o módulo financeiro do Gozi ISFB sob a forma de um arquivo DLL corrompido. Os usuários de computador devem tomar medidas para se proteger do GozNym, uma vez que a infecção continua a se desenvolver; é muito provável que as pessoas responsáveis pelo GozNym continuem a atualizar esse ataque, tornando-o mais grave no processo.