Банковский троян Gozi вернулся

Двенадцатилетний троянский вирус, Gozi, вернулся с новыми методами атаки, чтобы украсть персональные данные банковских карт. В новой версии используются стандартные методы, такие как keylogging, запись всей информации и извлечение сохраненных паролей.

Ранее троян попадал на ПК посредством пиратского ПО, а также поставлялся с браузерами, чтобы предоставлять пользователям специфическую рекламу. В основном вредоносное ПО затрагивало следующие категории пользователей:

• бизнес-клиенты;
• исследователи;
• финансовые учреждения.

Одна атака этого трояна может поставить под угрозу более 5200 хостов и 10 000 пользователей. Способ и алгоритмы кражи персональных данных такой же, как и у любых других вредоносных программ, которые устанавливаются на устройство цели.

Разработана новая тактика

Поскольку произошла утечка вредоносного кода(код вируса), распространители вредоносного ПО выпустили много версий. Следовательно, этот код стал наиболее часто используемым. Это может быть связано с тем, что он работает по-другому. Несмотря на то, что традиционным способом он рассылает спам-почту с документом, содержащим вредоносные макросы, что приводит к тому, что распаковка не производится непосредственно из документа. Вместо этого запускается команда PowerShell(используется для управления административными задачами), после чего запускается ещё одна команда PowerShell. Затем загружается исполняемый файл вредоносного ПО в каталог AppData пользователя. Данный метод не вызывает подозрений как у протокола большинства почтовых сервисов, так и у пользователей, которые получают рассылку.

Использование антивирусного программного обеспечения может помочь пользователю оставаться защищенным от большинства типов вредоносных программ. Cisco Talos удалось обнаружить Gozi с помощью собственного программного обеспечения для защиты от вредоносных программ.

Для уже зараженных устройств Virusremovalguidelines предоставляет пошаговое руководство по удалению вирусов.