Нова злонамерена програма от типа троянец помага на престъпниците да крадат пари от банковите сметки на жертвите, алармира компанията за сигурност Dr.Web.
Trojan.Gozi.64, представител на семейството Trojan.Gozi, атакува компютри под управление на операционна система Windows. Особеност на троянеца е, че се състои от отделни плъгини, които се зареждат от библиотека на отдалечен сървър, а протоколът за предаване на данните използва криптиране.
В частност, троянецът може да ползва плъгини за браузъра, с помощта на които да извършва уеб-инжекции за целите на атакуващите. Установено е, че са налични плъгини за Internet Explorer, Edge, Chrome и Firefox.
Trojan.Gozi.64 вгражда в разглежданите от потребителите страници фалшиви уеб форми за онлайн банкиране
Когато инсталира съответния модул, троянецът получава от управляващия сървър ZIP архив с конфигурация за изпълнение на уеб-инжекциите. По този начин троянецът може да вгражда в разглежданите от потребителите уеб страници произволно съдържание – например, фалшиви уеб форми за авторизация в банкови сайтове.
Тъй като модификацията на уеб страниците се извършва непосредствено на заразения компютър, URL-ът на сайта в адресния ред на браузъра остава коректен, което заблуждава потребителя, пояснява Dr.Web.
По описаната схема киберпрестъпниците могат да се сдобият с банкови данни на жертвите си, които след това се използват за кражба на пари. В допълнение, троянецът изпълнява и други функции, вкл. да прихваща натисканите клавиши и да краде данни за акаунти от имейл клиенти.