1016940_10151586393723005_2051808238_n - копия.jpg
b1d44ea4698f5bc218b0429b4d5ae523 - копия.jpg

Eset: Троян Win32/Corkow нацелен на кражу конфиденциальных данных бизнес-пользователей

Международная антивирусная компания Eset представила результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.

Как говорится в заявлении Eset, поступившем в редакцию CNews, Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 г. и продемонстрировал непрерывную активность в прошлом году. Экспертами Eset были обнаружены различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки, подчеркнули в компании. По данным вирусной лаборатории Eset, жертвами вредоносного ПО уже стали несколько тысяч пользователей в России и Украине.

Как удалось выяснить специалистам компании, Win32/Corkow распространяется наиболее типичным на сегодняшний день методом — скрытая установка с использованием разного рода программных уязвимостей (drive-by download).

Анализ показал, что Win32/Corkow, как и другие банковские трояны (Zeus, Carberp, Hesperbot, Qadars и др.), имеет модульную архитектуру. Он состоит из основного модуля и нескольких плагинов, каждый из которых отвечает за соответствующие возможности. Среди модулей, обнаруженных экспертами Eset в «препарированных» образцах Win32/Corkow: Core — основной компонент, отвечающий за внедрение других модулей, поддерживает создание скриншотов, перечисление смарт-карт и блокировку запуска приложений; MON — собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников; FG — реализует веб-инъекции и кражу данных веб-форм; KLG — кейлоггер; HVNC — позволяет атакующему удаленно подключаться к зараженному компьютеру; PG — используется для захвата аутентификационных данных; PONY — используется для кражи паролей от различных сервисов (детектируется антивирусными продуктами Eset NOD32 как Win32/PSW.Fareit).

По информации Eset, вышеперечисленные функции типичны для банковских троянов, но Win32/Corkow имеет и другие возможности. Он содержит специальные модули для компрометации приложений, используемых корпоративными пользователями: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. По мнению экспертов компании, это указывает на то, что злоумышленники концентрируют усилия на финансовых специалистах и компаниях, баланс банковских счетов которых превышает среднестатистический.

Помимо кражи данных, Win32/Corkow обладает возможностью уничтожать произвольные файлы на диске, а при поступлении соответствующей команды — удалять себя с зараженного компьютера, вызывая при этом серьезные повреждения операционной системы.
Кроме того, Win32/Corkow имеет модули, направленные на компрометацию некоторых банковских программ и сайтов, с поддержкой русского, украинского и английского языков. Особое внимание злоумышленники уделяют российским и украинским банкам, но, помимо этого, троян «интересуется» финансовыми учреждениями Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии, Великобритании и Кипра, указали в Eset.