Bezpieczeństwo IT - metody ochrony, Cyberzagrożenia

Trojan Gozi ISFB torpeduje działanie banków

Powstał kilka lat temu i jest dość dobrze znany sektorowi bankowemu. Wiele wskazuje na to, że w roku 2018 jego działalność znowu będzie siać spustoszenie. Mowa o malwarze Gozi ISFB, stworzonego przez Botneta Dark Cloud. Czy faktycznie banki mogą się czuć zagrożone?

Malware oparty na załącznikach

Po zbadaniu działalności dystrybutorów malware’ów w trakcie ostatnich sześciu miesięcy, firma Talos opublikowała na swoim blogu wpis, z którego wynika, że w 2018 roku Gozi jest jednym z głównych elementów szerokiej kampanii dystrybucyjnej szkodliwego oprogramowania. W omawianym okresie znacząco wzrosła liczba maili aktywacyjnych, opartych na dystrybucji związanej z malwarem Gozi oraz komendzie Nymaim.

Celem malware’owej kampanii opartej na Gozi ISFB ma być podszycie się pod specyficzne organizacje, które w trakcie swojej działalności wysyłają niewiele maili oznaczonych jako spam. Do takich malware’ów dołączane są sprytnie ukryte załączniki w postaci plików Microsoft Word. Następnie, po ich uruchomieniu następuje pobranie szkodliwego oprogramowania, które wyłudza wrażliwe dane.

Raport siejący szkodliwe oprogramowanie

Swego czasu Gozi mógł dostać się do systemu firm, które korzystały z biuletynu Korea Internet Security Center. Do tego biuletynu dołączano złośliwe oprogramowanie, które informowało użytkowników o wystąpieniu w znanym programie luki i konieczności zainstalowania poprawki. W ten sposób po kliknięciu w odnośnik poprawki do systemu dostawał się malware Gozi.

Aktualne certyfikaty bezpieczeństwa kluczem do ochrony

Najlepszym sposobem na uniknięcie problemów, związanych ze zmasowanymi kampaniami malware’owymi jest odpowiednia weryfikacja otrzymywanych maili, która przede wszystkim może opierać się na użyciu ważnych certyfikatów bezpieczeństwa, którymi wiadomości są podpisywane i odczytywane, co oznacza, że szyfrowanie powinno się odbywać po obu stronach komunikacji. W przypadku infekcji, która dostaje się bezpośrednio do systemu odpowiednie działanie ochronne może być znacznie utrudnione, gdyż wszelkie kampanie działają na zasadzie przerywanych akcji, a wszelka wcześniejsza działalność hakerów jest odpowiednio czyszczona i cyberprzestępcy zaczynają działać na nowych domenach i adresach IP.




Dodaj komentarz

avatar
  Subscribe  
Powiadom o