Voor het eerst is er een Trojaans paard ontdekt dat 64-bit browsers op een specifieke manier aanvalt om zo toegang tot online bankrekeningen te krijgen. Het gaat om een nieuwe variant van de Gozi Trojan, die een Man-in-the-Middle-aanval (MiTM) op de 64-versie van Internet Explorer uitvoert. Volgens het Duitse anti-virusbedrijf G Data heeft Gozi daarmee een primeur in handen.

Er waren eerder al Trojaanse paarden die 64-bit besturingssystemen konden infecteren, maar uiteindelijk alleen de 32-bit versie van de browser op het OS aanvielen. Een reden hiervoor is dat het kapen van 64-bit processen zeer complex is, aldus G Data. Er zijn twee manieren om een proces te kapen, Export address table (EAT) hooking en Inline hooking.

EAT hooking
Elke programmabibliotheek (DLL) bevat een tabel met aangeboden programma interfaces, wat de export address table (EAT) is. De tabel bevat weer een lijst met interfacenamen en aan welke interface-adressen ze zijn toegewezen. Tijdens het kapen worden de interface-adressen in de lijst op zo'n manier gemanipuleerd, dat ze naar de broncode van het Trojaanse paard wijzen, die weer de MiTM-functionaliteit bevat.

Deze methode gaat niet op bij 64-bit processen, doordat de EAT voor 64-bit processen ook een tabel is met 32-bit adressen. Door de afstand van 32 bits, kan een Trojaans paard in adresruimte van 64-bit niet garanderen dat het naar zijn eigen broncode kan wijzen.

Inline hooking
In het geval van inline hooking wordt een functie gekaapt, bijvoorbeeld de SSL-functie. De malware maakt hierbij misbruik van het feit dat een Windows programma in een 32-bit proces altijd met dezelfde 5 bytes begint. 64-bit programmabibliotheken beginnen echter niet met dezelfde 5 bytes.

Gozi gebruikt daarom een hybride technologie waarbij het beide tactieken combineert, genaamd 'code caving'. Op deze manier kan het toch processen kapen en het verkeer van een besmette computer onderscheppen en manipuleren.