Эксперты ESET препарировали троян российского происхождения Win32/Corkow

Международная антивирусная компания ESET представляет результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.

Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 года и продемонстрировал непрерывную активность в прошлом году. Экспертами ESET обнаружены различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки. По данным вирусной лаборатории компании, жертвами вредоносного ПО уже стали несколько тысяч пользователей в России и Украине.

Win32/Corkow распространяется наиболее типичным на сегодняшний день методом – скрытая установка с использованием разного рода программных уязвимостей (drive-by download).

Как и другие банковские трояны (Zeus, Carberp, Hesperbot, Qadars и др.), Win32/Corkow имеет модульную архитектуру. Он состоит из основного модуля и нескольких плагинов, каждый из которых отвечает за соответствующие возможности. Далее представлены некоторые модули, обнаруженные экспертами ESET в «препарированных» образцах Win32/Corkow:

  • Core – основной компонент, отвечающий за внедрение других модулей. Поддерживает создание скриншотов, перечисление смарт-карт и блокировку запуска приложений;
  • MON – собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников;
  • FG – реализует веб-инъекции и кражу данных веб-форм;
  • KLG – кейлоггер;
  • HVNC – позволяет атакующему удаленно подключаться к зараженному компьютеру;
  • PG – используется для захвата аутентификационных данных;
  • PONY – используется для кражи паролей от различных сервисов (детектируется антивирусными продуктами ESET NOD32 как Win32/PSW.Fareit).

Вышеперечисленные функции типичны для банковских троянов, но Win32/Corkow имеет и другие возможности. Он содержит специальные модули для компрометации приложений, которые используют корпоративные пользователи: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. Это указывает на то, чтозлоумышленники концентрируют усилия на финансовых специалистах и компаниях, баланс банковских счетов которых превышает среднестатистический.

Помимо кражи данных, Win32/Corkow обладает возможностью уничтожать произвольные файлы на диске, а при поступлении соответствующей команды – удалять себя с зараженного компьютера,вызывая при этом серьезные повреждения операционной системы.

Win32/Corkow имеет модули, направленные на компрометацию некоторых банковских программ и сайтов, с поддержкой русского, украинского и английского языков. Особое внимание злоумышленники уделяют российским и украинским банкам, но помимо этого троян «интересуется» финансовыми учреждениями Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии, Великобритании и Кипра.

Эксперты ESET рекомендуют пользователям при работе в сети соблюдать следующие меры безопасности:

  • убедитесь, что на компьютере установлено и регулярно обновляется современное антивирусное ПО («пиратские» антивирусы, как правило, обновляться не умеют);
  • используйте 64-битные версии Windows, начиная от Windows 7 – они менее чувствительны к заражению drive-by download;
  • регулярно обновляйте операционную систему (опция включена по умолчанию);
  • используйте преимущества Admin Approval Mode и не работайте под встроенной учетной записью администратора;
  • используйте браузеры с поддержкой sandbox и других технологий, которые ограничивают процессы вкладок в исполняемых ими действиях.

ESET


comments powered by Disqus

Топ компаний

  1. ESET  367
  2. Intel  159
  3. Лаборатория Касперского  153
  4. Microsoft  149
  5. Samsung Electronics  148
  6. Google  74
  7. Dell  60
  8. Qiwi  35
  9. Cisco Systems  27
  10. McAfee  24