-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Gozi malware bancario
- Publicado: 08/08/2019
- Importancia: Media
- Recursos afectados
Gozi es un troyano bancario de los más antiguos, descubierto a mediados del 2007, el cual estaba diseñado para la sustracción de información financiera, en su primer ataque logró infectar a más de 5200 hosts y 10.000 cuentas de usuario en cientos de sitios.
Gozi era distribuido principalmente a través de vulnerabilidades del navegador web Microsoft Internet Explorer, cuando el usuario visitaba páginas web comprometidas o maliciosas.
Al pasar el tiempo los desarrolladores de Gozi han innovado continuamente con nuevas técnicas, con un enfoque principal a los servicios de banca en línea. Escriben código personalizado para cada entidad objetivo. En su última versión Gozi valida el país de origen del dispositivo infectado (esto se realiza a través del comando PowerShell "Get-Culture" para recuperar la configuración del idioma, la distribución del teclado, la visualización de números, la moneda, etc.).
En un análisis realizado por el CSIRT Financiero al hash f4b1aae71fc9147b50faaad17cd7af602250990d37d5742f6a1374c90fee2472 asociado a Gozi, con nombres de archivo winuser[.]dll, npkpdb[.]dll y lodging.potx[.]kaf se logra identificar que 27 de 71 antivirus lo catalogan como malicioso.
- Etiquetas