Újra elemében van a bankszámlákat csapoló trójai

​A már csaknem 10 évet megélt Gozi trójai rendszeresen megfiatalodik, és egyre kifinomultabb trükkökkel segíti az áldozatok bankszámláinak megcsapolását.
 

A Gozi trójai először 2007-ben ütötte fel a fejét, amikor banki csalásokban kapott szerepet. Az adatlopásra és a pénzügyi tranzakciók manipulálására kiélezett trójai az évek során sok zűrös eseményt élt meg. Ezek közül mindenképpen meg kell említeni, hogy a forráskódja kétszer szivárgott ki az internetre, ami ahhoz vezetett, hogy rengeteg egyéb károkozóban kaptak helyet az egyes összetevői. Sőt nem olyan régen egyesült a szintén hírhedt Nymaim trójaival, aminek eredményeként született meg a GozNym károkozó. Ettől kezdve együttes erővel igyekeztek pénzhez juttatni a csalókat. A GozNym eleinte az Egyesült Államokban és Kanadában terjedt, majd egyre több európai számítógépen is felütötte a fejét.
 
A Gozi fejlesztői az elmúlt hónapokban sem tétlenkedtek, így a trójainak egy újabb, a korábbiaknál még szofisztikáltabb módszereket alkalmazó variánsa vált elérhetővé. Eközben azonban a célja mit sem változott. Továbbra is a banki tranzakciók kompromittálása maradt a középpontban.
 
Ahhoz, hogy a Gozi a csalókat pénzhez juttassa, a felhasználók online banki tevékenységét fürkészi, sőt manipulálja is azokat. Mindezt elsősorban az úgynevezett web injection technikával teszi, aminek során a banki ügyfeleket különféle webes tartalmakkal téveszti meg. A gyakorlatban mindez úgy fest, hogy a trójaival fertőzött számítógépen a böngészőben olyan - az eredetire megszólalásig hasonlító - oldalak is megjelennek, amelyek valójában nem a banktól származnak. Ezzel a támadók elérhetik például azt, hogy amikor a felhasználó elindítja az utalást, akkor az egyszer használatos kód beírására szolgáló weboldalt meghamisítják, és az eredeti oldalon lévő beviteli mezőket elrejtik. Vagyis amikor a banki ügyfél megadja a jóváhagyó kódot, akkor az nem a bankhoz kerül, hanem a csalókhoz, akik aztán - a kód érvényességi idején belül - kényük kedvük szerint utalhatnak át pénzt a saját számlaszámukra.
 
A Gozi a fertőzött számítógépekről valós idejű jelentéseket küld a vezérlőszerverei felé, így amikor egy banki műveletre kerül sor, akkor a támadók azonnal aktivizálódhatnak. Ekkor vagy automatizált vagy manuális módszerekkel hajthatják végre a nemkívánatos műveleteket. Vagyis arra sincs feltétlenül szükség, hogy a nap 24 órájában a számítógépük előtt üljenek, és figyeljék, hogy mikor húzhatják csőbe az áldozataikat.
 
A Buguroo biztonsági kutatói az új Gozi variáns kapcsán kiemelték, hogy az számos olyan technikát is bevet, amelyek révén nagyon hatékonyan tud elrejtőzni a védelmi technológiák elől. Az egyik legérdekesebb trükkje, hogy folyamatosan figyeli a felhasználó viselkedését, és olyan adatokat is továbbít a vezérlőszerverére, amelyek a billentyűleütések sebességével vagy a weboldalakon található mezők közötti váltások időszükségletével kapcsolatosak. Amikor pedig az automatizált mechanizmusok életbe lépnek, akkor a Gozi háttérrendszere igyekszik a felhasználó viselkedésmintái alapján végrehajtani a támadást, így a banki viselkedéselemző rendszerek nehezebben tudnak különbséget tenni az emberek és a gépek által kezdeményezett tranzakciók között.
 
A Gozi elsősorban spanyol, lengyel, japán és kanadai felhasználókat vett célba, de az áldozatok köre gyorsan szélesedik. Ráadásul a csalók olyan jól ismert pénzügyi szolgáltatókat is bevontak a kampányukba, mint amilyen például a PayPal, a CitiDirect BE, az ING Bank, a BNP Paribas vagy Bank of Tokyo.
 
A trójai ellen naprakészen tartott víruskeresővel, és biztonságtudatos internetezéssel lehet védekezni.