Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Gozi malware bancario

  • Publicado: 08/08/2019
  • Importancia: Media

Recursos afectados

Gozi es un troyano bancario de los más antiguos, descubierto a mediados del 2007, el cual estaba diseñado para la sustracción de información financiera, en su primer ataque logró infectar a más de 5200 hosts y 10.000 cuentas de usuario en cientos de sitios.

Gozi era distribuido principalmente a través de vulnerabilidades del navegador web Microsoft Internet Explorer, cuando el usuario visitaba páginas web comprometidas o maliciosas.


Al pasar el tiempo los desarrolladores de Gozi han innovado continuamente con nuevas técnicas, con un enfoque principal a los servicios de banca en línea. Escriben código personalizado para cada entidad objetivo. En su última versión Gozi valida el país de origen del dispositivo infectado (esto se realiza a través del comando PowerShell "Get-Culture" para recuperar la configuración del idioma, la distribución del teclado, la visualización de números, la moneda, etc.).


En un análisis realizado por el CSIRT Financiero al hash f4b1aae71fc9147b50faaad17cd7af602250990d37d5742f6a1374c90fee2472 asociado a Gozi, con nombres de archivo winuser[.]dll, npkpdb[.]dll y lodging.potx[.]kaf se logra identificar que 27 de 71 antivirus lo catalogan como malicioso.

Screenshot_1.png

Etiquetas