Η τελευταία έκδοση του Gozi banking trojan που είναι, προς το παρόν υπό ανάπτυξη, έρχεται με μερικούς «άσσους στο μανίκι της», συμπεριλαμβανομένου ενός αυξημένου ρόλου με κακόβουλους ανθρώπινους φορείς κατά τη διάρκεια της διαδικασίας μόλυνσης και τη δυνατότητα να παρακάμψει κάποιες συμπεριφορικές βιομετρικές άμυνες.
Αυτή η νέα Gozi έκδοση είναι ενεργή σε χώρες όπως η Ιαπωνία, η Ισπανία και η Πολωνία και στοχεύει χρηματοοικονομικούς οργανισμούς όπως οι PayPal, CitiDirect BE, ING Bank, Société Générale, BNP Paribas, Bank of Tokyo και πολλοί άλλοι.
Σύμφωνα με τον buguroo, αυτή η έκδοση του Gοzi δεν σχετίζεται με το GozNym, ένα άλλο τραπεζικό trojan που αναδύθηκε μέσα από τον πηγαίο κώδικα του Gozi που διέρρευσε στο διαδίκτυο το 2015.
Αυτή η νέα έκδοση του Gozi χρησιμοποιεί Web injection επιθέσεις, όπως η πρώτη Gozi γενιά. Το GozNym χρησιμοποιούσε, ομοίως, Web injection επιθέσεις, αλλά ξεκίνησε τις επιθέσεις ανακατεύθυνσης τον Ιούνιο.
Οι Web injection επιθέσεις βασίζονται σε κακόβουλα DLLs που φορτώνονται στον browser του χρήστη για να δείξουν επικαλύψεις (overlays) πάνω από την ιστοσελίδα, όταν το θύμα επισκέπτεται ένα τραπεζικό portal που υποστηρίζεται από modules του trojan.
Κάθε Gozi module υποστηρίζει ένα Web injection πακέτο που εμφανίζει μια ψεύτικη σελίδα πάνω από το αρχικό τραπεζικό portal. Είναι βασικά ένα Web injection module για κάθε στοχευμένο χρηματοπιστωτικό ίδρυμα.
Τα modules αυτά μπορούν να συλλέξουν login διαπιστευτήρια για το τραπεζικό portal κατά τη διαδικασία σύνδεσης, αλλά μπορούν και να πραγματοποιήσουν hijack στη σελίδα πληρωμών.
Μερικές από αυτές τις Web injection επιθέσεις λειτουργούν και σε πραγματικό χρόνο, με έναν απατεώνα στην άλλη πλευρά, να αποφασίζει σε ποιον λογαριασμό “πρόσχημα” θα ανακατευθύνει κλεμμένα χρήματα και με τι ποσό. Δυστυχώς, υπάρχουν cyber-crime υποδομές για τέτοιου είδους δουλειές στο Dark Web.
Στις πρόσφατες Gozi μολύνσεις, ο buguroo λέει ότι εντόπισε μια τέτοια συμπεριφορά. Το Gozi δεν είναι το πρώτο trojan που χρησιμοποιεί ανθρώπινους χειριστές όταν ασχολείται με Web injection επιθέσεις.
Για τους μικρότερους λογαριασμούς, το Gozi trojan είναι ακόμα αυτοματοποιημένο, επιλέγοντας έναν τυχαίο λογαριασμό “πρόσχημα” και ένα πάγιο ποσό πληρωμής, αλλά όταν το trojan μολύνει υψηλής αξίας στόχους, ένας ανθρώπινος χειριστής αναλαμβάνει και αποφασίζει σε ποιον λογαριασμό “πρόσχημα” θα μεταφερθούν τα μετρητά, μαζί με το μεγαλύτερο ποσό, αν αυτό είναι δυνατόν. Αυτό γίνεται σε περιπτώσεις όπου οι απατεώνες έχουν μολύνει λογαριασμούς επιχειρήσεων.
Οι τράπεζες συνεχώς αγωνίζονται ενάντια στα τραπεζικά trojans, όπως το Gozi και την πολύπλοκη cyber-crime υποδομή τους. Κάποιες από αυτές έχουν αναπτύξει συμπεριφορικές βιομετρικές λύσεις που καταγράφουν την ταχύτητα και το ρυθμό με τον οποίο οι χρήστες πληκτρολογούν και μετακινούν τον κέρσορα μεταξύ των πεδίων εισαγωγής. Οι ερευνητές ασφάλειας λένε ότι αυτή η νέα έκδοση Gozi καταγράφει και αυτές τις τιμές.
“Το κακόβουλο λογισμικό χρησιμοποιεί αυτές τις τιμές για να συμπληρώσει τα απαραίτητα πεδία ώστε να εκτελεστεί η δόλια μεταφορά γεγονός που μοιάζει με μια προσπάθεια να παρακάμψει τα συστήματα προστασίας με βάση τα βιομετρικά στοιχεία συμπεριφοράς των χρηστών,” εξηγεί ο buguroo.
Λεπτομέρειες σχετικά με αυτή τη νέα παραλλαγή του Gozi θα παρουσιαστούν στο συνέδριο ασφάλειας Black Hat USA 2016 που θα λάβει χώρα στο Λας Βέγκας. Οι λεπτομέρειες περιλαμβάνουν την ανάλυση των Web injects, C&C τεχνικών επικοινωνίας και μια σύγκριση με το Gootkit trojan.
