Обнаружена версия троянской программы Gozi для Windows 10

Модифицированная версия банковской троянской программы Gozi, направленная против пользователей операционной системы Windows 10, была обнаружена специалистами IBM. Вредоносная программа инфицирует браузер Microsoft Edge, который по умолчанию используется в Windows 10 и призван прийти на смену устаревшему Internet Explorer.

Хакеры воспользовались устаревшим методом инъекции кода для работы с браузером Microsoft Edge. Вредоносная активность троянской программы направлена на основной процесс браузера MicrosoftEdgeCP.exe.

Gozi является одной из старейших банковских троянских программ, функционирующих в данный момент. Вредоносная программа была разработана в 2007 году, а в 2010 году ее исходный код был раскрыт злоумышленниками. Тогда же в рамках крупномасштабной мошеннической кампании против банков в США хакеры начали пользоваться второй версией Gozi. В 2013 году троянская программа получила возможность проникать в сектор MBR жесткого диска, а в 2015 году разработчики внедрили в Gozi улучшенный функционал для веб-инъекции.

Чтобы внедрять код в браузер, версия Gozi, предназначенная для Windows 10, пользуется хуками в kernel32.dll. Помимо этого, троянская программа может проникнуть в процесс RuntimeBroker.exe и внедрить код в explorer.exe. Новая разновидность Gozi может поражать и другие браузеры, в том числе Chrome, Firefox, Internet Explorer и Opera.