Rosyjscy cyberprzestępcy wykorzystują pliki .pdf do rozsyłania konia trojańskiego Trojan.Gozi. Szkodliwy kod atakował już przed kilkoma miesiącami. Ukradł wówczas dane, których czarnorynkowa wartość oceniana jest na 2 miliony dolarów. Gozi zdobył informacje dotyczące numerów kont bankowych, kont w serwisach płatniczych czy numerów ubezpieczenia społecznego. Specjaliści, którzy odkryli trojana w lutym bieżącego roku informują, że obecna fala ataków została przeprowadzona przez tych samych cyberprzestępców, co lutowa.

W e-mailach rozsyłany jest zainfekowany plik .pdf. Gdy użytkownik go otworzy, z sieci zostaje pobrany Trojan.Gozi. Atak okazał się tak dużym sukcesem, że rosyjski cyberprzestępcy syndykat RBN (Russian Business Network) musiał wyłączyć dwa serwery, które zostały przeciążone przez komputery próbujące pobrać trojana.

Gdy trojan zostanie już zainstalowany, przechwytuje wszystkie dane wprowadzane przez użytkownika na strony chronione protokołem SSL. Z protokołu tego korzysta większość internetowych banków czy sklepów.

Do przeprowadzenia ataku wykorzystano błąd URI, który występuje w Windows XP i Windows Server 2003 z zainstalowanym Internet Explorerem 7.