Im August setzte GozNym auch die Banken in Deutschland in Alarmzustand. GoZnym, ein raffinierter neuer Trojaner, hatte zuvor schon ziemlich erfolgreich Banken in den USA, Kanada und Polen angegriffen.

GozNym ist eine relativ neue Malware, die aber aus zwei verschiedenen, schon seit längerem bekannten Trojanern zusammengebaut wurde. Und wie es sich nach ersten Analysen herausstellte, ist diese Kombination höchst effektiv, wenn es darum geht, Online-Banking-Diebstähle erfolgreich auszuführen. Die Kunden von 24 Banken in Amerika und Kanada wurden damit in wenigen Tagen um viele Millionen US-Dollar beraubt.

Wer auch immer hinter GozNym steckt, hat sich wirklich etwas einfallen lassen bei der Kreation dieses neuen Trojaners. Sicherheitsforscher der IBM X-Force haben GozNym untersucht und festgestellt, dass er aus Codes der Malware Nymaim und dem Trojaner Gozi ISFB zusammengesetzt wurde – daher auch der Name GozNym. Wie es scheint, haben sich die Erbauer von GozNym dazu auch an dem Quellcode von Nymaim bedienen können.

Nymaim, ein doppelstufiger Malware-Dropper war allein an sich schon raffiniert genug, da er sich selbst mit ausgefeilter Technik ganz ausgezeichnet vor Entdeckung schützen konnte. Seine doppelstufige Funktion beginnt mit der Infiltration der angegriffenen Computersysteme mit Exploit-Kits und seine zweite Funktion speichert dann eine Datei, die daraufhin ausgeführt wird.

Gozi ISFB wurde geschaffen, um Skripte in Browser zu injizieren und eingesetzt, um beim Besuch einer Online-Banking-Webseite die Anmeldedaten seiner Opfer abzufangen. Die IBM Forscher von X-Force bestätigen dem Gozi ISFB Trojaner besondere Effektivität, wie er dabei Antivirussoftware umgeht.

Beide Trojaner standen schon länger unter Beobachtung durch X-Force Experten. 2015 fiel ihnen dann auf, dass die Nymaim Malware plötzlich damit begann, ein Gozi-ISFB-Modul aufzuladen. Es handelte sich dabei um die Webinjection Dynamic Link Library (DLL), die für Angriffe auf Online-Banking Systeme genutzt wird. Im April 2016 entdeckten die Sicherheitsforscher dann, dass Nymaim und Gozi ISFB zu einem neuen Trojaner mit dem Namen GozNym fusionierte worden waren. Seit dem wurden sogar aktualisierte Versionen entdeckt, bei dem auch der ursprüngliche Code von Gozi ISFB verändert wurde. Diese neu geschaffene Malware ist hervorragend getarnt und kann Websitzungen manipulieren. Ausgezeichnete Verschlüsselungstechnik, Anti-Virtuelle-Maschinen-Taktiken und Kontrollstrukturverschleierung kommen dabei zum Einsatz.

Diese neue Schadsoftware begann dann ihren Einsatz in den USA im April, danach in Polen und dann im Juni wieder in den USA. Ziel der Angriffe waren dabei jeweils größere Geschäftskunden sowie mittelständische Unternehmen aber auch die Bereiche Investmentbanking und Privatbanking. Im August weiteten die GozNym-Erbauer ihr Spielfeld auf Deutschland aus. Die Cyberkriminellen hinter dem Trojaner konnten in kurzer Zeit die Kunden von 13 verschiedenen Banken in Deutschland angreifen.

Ihre Angriffe wurden über Phishingmails eingeleitet, die die Banking-Kunden auf gefakte Phishing Webseiten umgeleitet haben. Bei den nachfolgenden Untersuchungen des Angriffs fiel den IBM-Experten sofort auf, dass die Phishingmails in tadellosem Deutsch aufgesetzt wurden. Dies ist insofern ungewöhnlich, da die allermeisten Phishingmails in der Regel einen weniger eloquenten deutschen Sprachstil mit verstreuten auffälligen Rechtsschreibmängeln verwenden und somit sich sofort selbst für Laien enttarnen. Dazu kam noch, dass die gefälschten Webseiten der jeweiligen Banken in unglaublich guter Qualität nachgebaut worden waren. So gut, dass die Täuschung in den allermeisten Fällen erfolgreich war. Obwohl der Gesamtschaden noch nicht abgeschätzt werden kann, wird davon ausgegangen, dass etwa 1.500 solcher Angriffe in Europa allein im August durchgeführt wurden. Das sei ein Anstieg von 3.500 % gegenüber dem Vormonat und zeigt, wie gefährlich GozNym eigentlich ist.

Forscher befürchten daher, dass der Trojaner seine Aktivitäten recht schnell auf andere Länder ausweiten wird, und fordern alle Nutzer auf besonders wachsam zu sein. GozNym hat sich in kurzer Zeit auf Platz 8 der Liste der erfolgreichsten Malware hochgearbeitet. Die Liste wird angeführt durch die schon viel länger aktiven Schadprogramme Neverquest und Zeus.

Artikel von handelsblatt.com, 24.08.2016: Hackerangriff auf deutsche Bankkunden
Artikel von zdnet.com, 24.08.2016: GozNym Trojan spreads to attack German banks
Artikel von zdnet.com, 16.04.2016: Banking-Trojaner GozNym verursacht Millionenschaden