Модифицированная версия банковской троянской программы Gozi, направленная против пользователей операционной системы Windows 10, была обнаружена специалистами IBM. Вредоносная программа инфицирует браузер Microsoft Edge, который по умолчанию используется в Windows 10 и призван прийти на смену устаревшему Internet Explorer.
Хакеры воспользовались устаревшим методом инъекции кода для работы с браузером Microsoft Edge. Вредоносная активность троянской программы направлена на основной процесс браузера MicrosoftEdgeCP.exe.
Gozi является одной из старейших банковских троянских программ, функционирующих в данный момент. Вредоносная программа была разработана в 2007 году, а в 2010 году ее исходный код был раскрыт злоумышленниками. Тогда же в рамках крупномасштабной мошеннической кампании против банков в США хакеры начали пользоваться второй версией Gozi. В 2013 году троянская программа получила возможность проникать в сектор MBR жесткого диска, а в 2015 году разработчики внедрили в Gozi улучшенный функционал для веб-инъекции.
Чтобы внедрять код в браузер, версия Gozi, предназначенная для Windows 10, пользуется хуками в kernel32.dll. Помимо этого, троянская программа может проникнуть в процесс RuntimeBroker.exe и внедрить код в explorer.exe. Новая разновидность Gozi может поражать и другие браузеры, в том числе Chrome, Firefox, Internet Explorer и Opera.