Le Russian Business Network, un FAI russe connu pour son hébergement d'activités illégales ou cachées, comme des sites de pornographie infantile, d'hameçonnage ( phishing ), et de logiciels malveillants, a du fermer deux serveurs qui avaient été surchargés dûs au succès de cette attaque, a ajouté SecureWorks.
Les personnes malintentionnées envoient du spam via des pièces jointes au format .PDF. Ces dernières transforment le lecteur de fichiers .PDF Adobe Acrobat Reader en installateur de logiciels malveillants et une fois que la victime a cliqué sur la pièce jointe, il télécharge la variante du troyen Gozi. Ensuite, ce dernier capture des données entrées sur des sites sécurisés en SSL, c'est-à-dire la plupart des sites bancaires, des portails e-marchands et des services intranet des entreprises..
Selon eWeek relayant les tests des experts en sécurité, le trojan Gozi s'est révélé efficace sous les plates-formes Windows XP et Server 2003 utilisant Internet Explorer 7 et la version Adobe Acrobat Reader 8 ainsi que ses dérivées.
