Pull to refresh
0

Банковский троян Win32/Corkow атакует российских пользователей

Reading time 3 min
Views 27K
Наша антивирусная лаборатория обнаружила высокую активность сложной банковской вредоносной программы российского происхождения Win32/Corkow, с помощью которой были заражены тысячи компьютеров. Первые модификации Corkow появились еще в 2011 г., тогда же она была добавлена в антивирусные базы. В отличие от Carberp, который получил мировую известность, Corkow не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время.



Подобно другим банковским вредоносным инструментам как, например, Hesperbot, который был раскрыт исследователями ESET в сентябре прошлого года, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут расширять возможности этого вредоносного ПО необходимыми для них плагинами. Подобные модули или плагины обеспечивают для злоумышленников доступ к конфиденциальным данным пользователя через следующие возможности: клавиатурный шпион (кейлоггер), создание скриншотов рабочего стола, веб-инъекции и кражу данных веб-форм.

Кроме вышеперечисленных возможностей Win32/Corkow также предоставляет злоумышленникам удаленный доступ к зараженному компьютеру (backdoor) и является установщиком (downloader) в систему другой вредоносной программы для кражи паролей «Pony» (обнаруживается антивирусными продуктами ESET как Win32/PSW.Fareit). Таким образом с помощью этой вредоносной программы злоумышленники имеют полный доступ к данным скомпрометированного пользователя.



Как показано на диаграмме выше наибольшее количество заражений 73% приходится на Россию, при этом Украина занимает второе место 13%. Неудивительно, что эти страны пострадали больше других, так как сам Corkow имеет российское происхождение и содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами для быстрого выполнения банковских операций. Кроме этого, Corkow содержит модуль для атаки на приложение Сбербанка, которое используется для онлайн-банкинга.



Выше на скриншоте показана часть вредоносного кода на Java, которая содержит строки русского и украинского языков. Эти строки используются в iBank2 при отображении информации о балансе счета пользователя.

С использованием этой вредоносной программы злоумышленники собирают на скомпрометированном компьютере пользователя следующую информацию: историю посещений веб-браузера, список установленных приложений, время их последнего использования, а также список запущенных процессов. Исходя из списка приложений, за которыми охотится Corkow, для нас очевидно, что злоумышленников интересуют различные приложения трейдинговых платформ, а также приложения для работы с онлайн-банкингом.

Другой интересной особенностью Corkow является его ориентация на веб-сайты и соответствующее ПО, которое относится к виртуальной валюте Bitcoin, а также компьютеры, которые принадлежат разработчикам приложений для Android, которые размещают свои приложения на Google Play. Далее злоумышленники могут осуществить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями.

Corkow шифрует свою полезную нагрузку с использованием идентификатора серийного номера тома диска C:, таким образом делая бесперспективным его анализ где-либо на другом компьютере.

Наша система телеметрии фиксировала резкие спады и подъемы в активности этой вредоносной программы с начала ее первого обнаружения в октябре 2011 г. Во второй половине 2012 г. наблюдался спад ее активности, после чего активность снова возросла.



Возможно группа, распространявшая Corkow, была привлечена к уголовной ответственности, о чем может свидетельствовать продолжительный спад в активности вредоносной программы во второй половине 2012 г.

В следующей части мы опубликуем детальное исследование этой вредоносной программы.
Tags:
Hubs:
+17
Comments 23
Comments Comments 23

Articles

Information

Website
www.esetnod32.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Словакия