Об обнаружении новой троянской программы, прежде всего нацеленной на банковские накопления пользователей, сообщили сотрудники компании Dr.Web.
Основным отличием нового вируса остальных собратьев семейства Trojan.Gozi стало то, что новичок полностью складывается из самостоятельных подгружаемых модулей.
После попадания на компьютер жертвы, троян по зашифрованному сетевому протоколу скачивает остальные плагины с управляющего сервера. Таким образом на устройстве пользователя оказываются расширения для веб-обозревателя, благодаря которому и задействуется технология веб-инжектинга.
Веб-инжектинг позволяет изменять содержимое отображаемой страницы в браузере, перехватывая HTTP запросы и ответы от сервера. При посещении пользователем интересующего злоумышленников сайта вредонос вставляет в ответ сервера свой код, например, добавляющий на страницу изначально отсутствующую форму авторизации.
А поскольку подмена осуществляется лишь на зараженном ПК или ноутбуке, URL измененного ресурса в адресной строке веб-обозревателя остается правильным, что легко успокоит любого пользователя.
Вирус поддерживает расширения для Internet Explorer, Edge, Chrome и Mozilla. Троян также способен записывать нажатия клавиш, похищать информацию учетной записи из электронной почты и выполнять другие функции, угодные злоумышленникам.
