Gozi木马不断拓展攻击范围，东欧国家拉响警报

警示：Gozi木马正在向东欧国家靠近！
本月早些时候，IBM安全研究员发现并分析了一个新的Gozi木马配置文件，发现该木马专门针对的是保加利亚的银行。之前版本的Gozi木马针对的主要是美国、英国、澳大利亚、沙特阿拉伯、波斯湾等地的银行，这是第一次出现在保加利亚地区。
保加利亚和网络犯罪
在网络犯罪圈中，保加利亚应该是以攻击者闻名，曾以网络欺诈、支付卡欺诈、ATM欺诈等而上了头条。欧洲ATM安全团队称保加利亚是网络犯罪的故乡，像大规模的ATM欺诈、电子支付欺诈、伪造文件等就盛产于此。
保加利亚的银行存在的一个最普遍的问题是可被用于跨国取钱或者洗黑钱。当 Carbanak heist问题覆盖全球时，保加利亚的银行也遭遇了网络攻击，并损失惨重。
保加利亚打击网络犯罪组织的首席理事Vasil Petkov指出：
“幸运的是，保加利亚的网络犯罪活动还没有达到世界级的危害，或许是因为网络犯罪者们没有找到大的攻击目标吧”。
Gozi木马成长史
Gozi木马，也被称为ISFB或者Ursnif，是目前发现的时间最为长久的银行木马。首次发现于2007年，由一个已经解散的恶意程序组织运营，主要对说英语的国家发动网上银行欺诈。
2010年9月，Gozi团队在进行版本更新时（也就是Gozi v2），其中一位开发者不小心将源码（ISFB）泄露了出去。
2010年底Gozi v2变种开始出现，它使用了新的web注入机制，主要针对的是欧洲和美国的银行。
在过去的5年内，Gozi v2的开发者不断的提升其技术和方法，扩大其攻击范围。有证据表明Gozi一直活跃至今，并且还在不停更新技术和方法，以绕过在线服务的安全防护。
为什么要攻击东欧国家呢？
金融动机是网络犯罪者们发动攻击的主要原因，最重要的是他们会因地制宜的制作出一封垃圾邮件，能最大程度的感染用户。另外之所以选择说英语的国家，原因有二：一是英语是通用语言，比较好驾驭；二是这些国家的货币更有吸引力。
网络犯罪者们的攻击路径和方法往往会超出你的想象，他们一般会选择一条阻力最小的路径。如果他们发现美国和英国出现了比较高级的欺诈防护措施，那么他们就会折返，去选择防护措施不够完善或者基本没有遭受过攻击的地区，所以东欧国家就莫名的躺枪了。
Gozi攻击范围的拓展方式：1到10
IBM通过对Gozi的分析发现，2015年初的时候，它的攻击目标依然集中在美国和英国，而在3月到5月间扩展到了一些其他的领域。Gozi的攻击习惯是，先在一个地区找出一个攻击目标，持续数月，然后再在该区域扩展攻击目标。例如在沙特阿拉伯，Gozi刚开始只找了一个银行作为攻击目标，然后到2015年7月份的时候，一下子就将其攻击目标扩展到了15个。

保加利亚会成为第二个沙特阿拉伯吗？只有时间能 告诉我们答案。