Jak wskazuje raport IBM X-force, złośliwe oprogramowanie GozNym podszywa się pod internetowe strony 17 banków komercyjnych i 230 banków spółdzielczych w Polsce. Na początku kwietnia 2016 r. ten sam trojan pojawił się w USA, Kanadzie i Portugalii. Przestępcy wykradli już ponad 4 mln USD z kont ofiar GozNym. Atak „pochodził” z serwerów moskiewskich.
“Analiza kodu współczesnego złośliwego oprogramowania wymierzonego w branżę bankową – takiego, którego głównym celem jest kradzież pieniędzy z kont klientów – ujawniła już dziesiątki metod, jakimi przestępcy wykradają środki. Od prostych, ale zaskakująco skutecznych, jak podmiana numeru konta w locie podczas wklejania go na stronie bankowości elektronicznej, do bardziej zaawansowanych i wymagających wcześniejszego przygotowania ataków, podczas których przestępcy przejmują kontrolę zarówno nad naszym komputerem/telefonem/tabletem, jak i nad naszą cyfrową tożsamością” – komentuje Marcin Spychała, w IBM odpowiadający za rozwój rynku CEE dla rozwiązań przeciwdziałających przestępstwom finansowym w kanałach elektronicznych.
Atak, który obecnie obserwujemy w Polsce z wykorzystaniem malware o nazwie GozNym, jest pod pewnymi względami szczególny i oznacza, że Polska dołączyła do niespecjalnie elitarnego klubu krajów, które będą najczęściej atakowane przez cyberprzestępców. Co takiego się zmieniło? “Spójrzmy na to z perspektywy przestępcy włamującego się do naszego mieszkania. Malware to klucz do naszych drzwi, a mieszkanie to bank, w którym trzymamy pieniądze. Dotychczas większość ataków w Polsce przeprowadzanych było na pojedyncze banki – czyli przestępcy dysponowali kluczami do pojedynczych mieszkań. Nowy malware GozNym posiada ponad 200 takich kluczy do 17 banków komercyjnych i do ponad 200 banków spółdzielczych. Świadczy to o tym, że przestępcy niejako ‘docenili’ Polskę jako wartą atakowania i przygotowali infrastrukturę mającą to ułatwić” – wyjaśnia Marcin Spychała.
Wyróżnikiem obecnie prowadzonego ataku z wykorzystaniem malware o nazwie GozNym jest to, że po zainfekowaniu komputera ofiary, złośliwe oprogramowanie nie dopuszcza w ogóle klienta do połączenia się ze stroną bankowości elektronicznej. W zamian przekierowuje ofiarę na fałszywą, ale wyglądającą identycznie jak prawdziwa stronę banku, gdzie ofiara wpisuje swoje dane logowania i zdradza je tym samym przestępcom. Sama metoda takiego ataku jest już znana od 2014 roku, kiedy wykorzystał ją malware Dyre i jego późniejsze klony.
Drugim wyróżnikiem obecnie prowadzonego ataku jest to, że po zainfekowaniu komputera ofiary, złośliwe oprogramowanie nie dopuszcza w ogóle klienta do połączenia się ze stroną bankowości elektronicznej. W zamian przekierowuje ofiarę na fałszywą, ale wyglądającą identycznie jak prawdziwa stronę banku, gdzie ofiara wpisuje swoje dane logowania i zdradza je tym samym przestępcom. Sama metoda takiego ataku jest już znana od 2014 roku, kiedy wykorzystał ją malware Dyre i jego późniejsze klony. Ale dotychczas była sporadycznie używana do ataków w Polsce. Było to niejako zrozumiałe, bo przygotowanie infrastruktury informatycznej dla fałszywej strony bankowej jest zadaniem skomplikowanym i czasochłonnym. Ponadto przestępcy również kalkulują czy atak opłaci się im ekonomicznie – innymi słowy czy zyski z kradzieży przewyższą koszty przygotowania. Dlatego dotychczas widzieliśmy tego typy ataki tylko na pojedyncze spośród największych banków w Polsce. Fakt, że grupa przestępcza stojąca za atakiem zainwestowała w infrastrukturę fałszywych stron bankowych środki i pracę w takiej skali, świadczy o tym, że dla przestępców staliśmy się ważnym źródłem przychodów.
Jak się chronić? IBM Trusteer Pinpoint Detection oraz Trusteer Rapport zostały już wyposażone w mechanizmy wykrywania i usuwania tego zagrożenia. Więcej o zagrożeniu na blogu IBM Security Inteligence.
