Gozi - модифицированный банковский троян для Windows 10


Gozi (IBM) - банковский троян, нацеленный на пользователей ОС Windows 10. Вредонос поражает Microsoft Edge - браузер в новой оперативной системе, замена Internet Explorer.

Напомним, Gozi - один из старейших функционирующих банковских троянов. С 2007 года он использовался злоумышленниками в массивных мошеннических кампаниях против американских банков. С 2013 года вредонос получил возможность внедряться в сектор MBR жесткого диска. Затем вирусописатели добавили в троян улучшенные возможности по web-инъекции.

В данной ситуации вирусописатели смогли использовать устаревший метод инъекции кода для работы с браузером Microsoft Edge. Троян поражает основной процесс обозревателя MicrosoftEfgeCP.exe.

В версии для Windows 10 Gozi использует ряд хуков в kernel32.dll для внедрения кода в браузер. Троянское ПО также проникает в процесс RuntimeBroker.exe - родительский процесс Edge и внедряет код в explorer.exe. Модифицированная версия Gozi способна работать и с другими браузерами, включая:

  • Internet Explorer;
  • Chrome;
  • Opera;
  • Firefox.