Gozi обзавелся буткитом

[Viruslist.com]

Компания Trusteer, специализирующаяся в области корпоративной защиты, [обнаружила][1] новую модификацию банковского троянца Gozi, включающую функционал руткита.

Руткиты считаются эффективным средством сокрытия вредоносного кода в системе, однако они редко используются зловредами, ориентированными на кражу финансовой информации. Исключения составляют печально известный [Torpig/Sinowal][2] и, пожалуй, Carberp, буткит-компонент которого был обнаружен ESET два года назад и с тех пор иногда [всплывает][3] на теневых форумах.

По свидетельству Trusteer, руткит-вариант Gozi заражает MBRи дожидается запуска Internet Explorer для реализации своего основного функционала. Как и прочие банкеры, Gozi осуществляет перехват трафика и способен на лету подменять веб-страницы банковских ресурсов. Эксперты отмечают, что сама программа-шпион видимых изменений не претерпела. Возможно, на черном рынке появился новый руткит, которым и воспользовались разработчики Gozi.

Модульный троянец Gozi, он же Papras, досаждает клиентам банков с 2006 года. По оценкам экспертов, его глобальная популяция превышает 1 миллион, включая 40 тыс. зараженных компьютеров в США, а также инфекции в Германии, Польше, Великобритании, Франции, Италии, Финляндии и Турции. Убытки от шпионской деятельности Goziизмеряются десятками млн. долларов.

В настоящее время в США [запущен][4] судебный процесс в отношении трех иностранцев, подозреваемых в создании и распространении этого троянца. Согласно исковому заявлению, идеологом Goziявляется россиянин Никита Кузьмин, который в свое время составил подобие ТЗ и нанял опытного программиста для написания исходного кода. Вначале Кузьмин предоставлял Gozi как SaaS через свой веб-сайт 76 Service, а в 2008 году запустил его в продажу, время от времени нанимая вирусописателей для совершенствования своего детища. Кузьмин был арестован в конце 2010 года и уже сознался в неправомерном вмешательстве в работу компьютерных систем.

Одним из наемников, помогавших Кузьмину дорабатывать Gozi, предположительно является латыш Денис Чаловский, бывший студент Рижского технического университета, а ныне мелкий бизнесмен. По запросу властей США он был задержан латышской полицией и недавно [обжаловал][5] решение местных властей об экстрадиции. Предполагаемый хостер C&C серверов Gozi Михай Паунеску (MihaiIonutPaunescu) был арестован в Румынии в конце 2012 года и ожидает решения о выдаче американским властям. По данным ФБР, он предоставлял bulletproof хостинг не только операторам Gozi, но также ботоводам ZeuS, SpyEye и прочих известных зловредов.

[1]: http://www.trusteer.com/blog/gozi-puts-the-boots-on
[2]: http://www.securelist.com/ru/analysis/204007635/Butkit_vyzov_2008
[3]: http://blogs.rsa.com/got-an-extra-40000-lying-around-carberp-is-back-on-the-market/
[4]: http://www.justice.gov/usao/nys/pressreleases/January13/GoziVirusPR.php
[5]: http://rus.apollo.lv/novosti/zaderzhannogo-v-imante-khakera-poka-ne-budut-vydavat-ssha/550828

URL: http://www.securelist.com/ru/blog/207764629/Gozi_obzavelsya_butkitom