据了解,GozNym银行木马正在对美国用户发动重定向攻击,而这款银行木马也从Dyre和Dridex等木马病毒的身上继承了不少的特性。

安全研究专家于两个月前发现了GozNym银行木马,而在两个月之后的今天,该银行木马中增加了一个新的功能,它可以使用这一新添加的功能来攻击美国高级商业银行的银行服务。

IBM公司的X-Force安全团队于2016年四月份检测到了GozNym银行木马,当时这一木马病毒正在对美国和加拿大的金融机构客户进行攻击。

在该木马病毒最初的版本中,木马使用了一种被称为“Web注入”的技术。当用户所访问的网上银行是该木马模块所支持攻击的话,那么攻击者就可以使用这项技术来对目标用户实施攻击。这项技术需要在目标用户的浏览器中加载恶意DLL文件,并且在页面的顶部隐藏恶意内容。

“Web注入”攻击是一种极为常见的攻击方式,GozNym的Web注入功能是从Gozi银行木马那里继承下来的。实际上,GozNym的名字是由“Gozi“和”Nymaim“这两款恶意软件的名字共同组成的。想必大家也猜到了,“Gozi“和”Nymaim“都是木马病毒。其中,Nymaim木马最主要的功能就是“勒索”,并且它也是一个具备下载功能的木马,可以下载诸如Ursnif金融木马等其他的恶意软件。Gozi则是一个金融木马程序,注入浏览器后黑客即可监控用户的网页浏览信息。GozNym木马程序融合了Nymaim与Gozi的程序代码,它兼具Nymaim的隐形与持久性,并且同时具备Gozi窃取金融信息的能力,如果它开始针对北美的银行展开大规模的攻击,其威胁性难以想象。

在今年四月份,GozNym增加了重定向攻击的功能。

在IBM公司发表了安全人员对GozNym工作机制的研究报告之后,制作该恶意软件的网络犯罪分子为这款木马添加了一个新的功能,以增强这款银行木马的攻击性能。

GozNym开始使用一种名为“重定向攻击”的攻击技术。起初,安全研究人员只在波兰检测到了具备这种攻击技术的木马病毒,当时这种木马对17个金融机构的230多个URL地址进行了网络攻击。

当恶意软件将用户的访问流量重定向到一个伪造的银行门户网站(该网站由攻击者所控制)时,重定向攻击便发生了。为了成功地欺骗用户,攻击者可以利用恶意软件来进行非法操作,并在浏览器的地址栏中显示正确的URL地址以及银行真实的SSL证书。

目前,只有GozNym和Dridex这两款木马使用了重定向攻击技术。

从某种程度上来说,由于Dyre和Dridex这样的银行木马声名大噪,这也使得“重定向攻击”这样的技术变得越来越流行了。

这种攻击是很难被检测到的,而且这种攻击技术也成为了网络犯罪组织目前主要的攻击方式之一。但值得注意的是,无论是从财力资源还是从人力资源方面进行考虑,进行这样的攻击所要付出的代价都是比较“昂贵”的。

GozNym的控制者不仅需要“网站服务器“这样的基础设施来托管所有伪造的银行门户网站,而且他们还必须不断地去更新这些伪造的网站,这样才能保证这些网站看起来能够与真实的银行门户网站相同。

IBM公司的Limro Kessem解释称:“在大多数情况下,GozNym银行木马可以重定向银行门户网站的主页,但是这并不是该恶意软件唯一能重定向的页面。在有些情况下,GozNym木马还可以将某些其他的页面重定向至伪造的页面,并迫使目标用户输入他们的登录凭证。”

就在Dyre僵尸网络逐步开始淡出人们的视线之后,GozNym和Dridex是目前唯一的两款具备“重定向攻击”功能的银行木马。

根据IBM公司的统计显示,在2016年一月份最活跃的银行木马病毒排名中,GozNym排在了第五名,而Dridex木马则名列第二。

针对银行系统的恶意软件并不是什么新鲜事了。今天的网络犯罪分子更关注偷窃数据,但有一些网络罪犯仍然只对真正的钱感兴趣。在受到了近期的攻击后,美国和加拿大的银行业提高了警惕,技术人员对他们的服务器加强了安全保护,并试图修复GozNym攻击者所利用过的那些安全漏洞。

随着科技的进步,银行业的安全防护能力也有了很大程度的提升,“战胜威胁”、“保障系统”、“数据安全”成为银行及整个金融业急需重视和解决的三大重要命题。