GozNym

O GozNym é uma infecção por Trojan que combina duas ameaças conhecidas e muito destrutivas: o Gozi ISFB e o Nymaim. O nome do GozNym é composto por uma combinação dos nomes dessas duas ameaças. O GozNym representa uma séria ameaça à segurança de um computador e está sendo usado atualmente em estado selvagem. O GozNym contém os recursos das duas ameaças nas quais o GozNym se baseia, para criar uma ameaça que é particularmente difícil de se lidar. Atualmente, o GozNym está sendo usado para atacar bancos e instituições financeiras, varejistas, bancos comerciais e cooperativas de crédito em particular. O GozNym foi descoberto no início de abril e em apenas poucas semanas o GozNym tinha conseguido desviar mais de 4 milhões USD de instituições financeiras ao redor do mundo. É importante tomar medidas urgentes para proteger os computadores que correm o risco de serem atacados pelo GozNym. O uso de um programa de segurança confiável que esteja totalmente atualizado e capaz de detectar tanto o GozNym quanto as ameaças nas quais se baseia esse Trojan é altamente recomendado.

A Combinação Fatal que Deu Origem ao Trojan GozNym

Os pesquisadores de segurança do PC descobriram o GozNym ao observar o que parecia ser um híbrido do Gozi ISFB e do Nymaim. Aparentemente, os criadores do Nymaim recompilaram o código-fonte dessa ameaça e incluíam porções do Gozi ISFB em seu código para dar-lhe novos recursos. A combinação dessas duas ameaças resultou em uma ameaça que foi usada para atacar mais de 24 bancos nos Estados Unidos e no Canadá. Desde a sua criação, apenas duas semanas antes deste relatório ter sido escrito, o GozNym tem sido usado para coletar milhões de dólares.

O GozNym tem as melhores características de cada um dos seus componentes. O GozNym usa o dropper altamente eficaz do Nymaim e os mecanosmos de infiltração e recursos do Gozi ISFB para tomar dinheiro e dados financeiros das vítimas. O Nymaim, conhecido por sua persistência e furtividade, permite que o GozNym invada um computador sem ser detectado e seja executado em segundo plano sem alertar a vítima ou o software de segurança do computador afetado. O GozNym usa o Gozi ISFB para enganar os usuários de computador através de seus navegadores de rede. Essa fusão tem provado ser altamente eficaz na realização de ataques a usuários de computador inocentes.

Como o GozNym Se Propaga

O GozNym está sendo espalhado através de anexos de email corrompidos. Documentos ameaçadores associados ao GozNym podem aproveitar uma vulnerabilidade no Microsoft Office que permite a execução do código corrompido quando os macros são ativados. Uma vez no computador da vítima, o GozNym assume o navegador da vítima para coletar credenciais de bancos on-line e números de cartão de crédito. O GozNym também pode tirar dinheiro de contas bancárias, manipulando a forma como a vítima se conecta à Internet, e injetando seus próprios dados no navegador da vítima. A combinação dos antecessores do GozNym funciona muito melhor para realizar esses ataques do que essas duas ameaças individualmente.

O GozNym usa duas fases do Trojan dropper do Nymaim para realizar os seus ataques, uma característica dessa ameaça que já tinha chamado a atenção dos pesquisadores de segurança do PC. Isso significa que o GozNym entra no computador da vítima através de um kit de exploração ou de uma mensagem de email corrompida e, em seguida, instala a segunda fase da sua carga, que é quando o GozNym entra no computador da vítima. Essencialmente, o GozNym usa dois arquivos executáveis para realizar o seu ataque. Há vestígios de um possível híbrido destas duas ameaças; versões anteriores dessa ameaça podem ter usado o dropper do Nymaim para injetar o módulo financeiro do Gozi ISFB sob a forma de um arquivo DLL corrompido. Os usuários de computador devem tomar medidas para se proteger do GozNym, uma vez que a infecção continua a se desenvolver; é muito provável que as pessoas responsáveis pelo GozNym continuem a atualizar esse ataque, tornando-o mais grave no processo.