3 Марта 2014

Win32/Corkow нацелен на бизнес-пользователей

Москва, 3 марта 2014 г. Международная антивирусная компания ESET представляет результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.

Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 года и продемонстрировал непрерывную активность в прошлом году. Экспертами ESET обнаружены различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки. По данным вирусной лаборатории компании, жертвами вредоносного ПО уже стали несколько тысяч пользователей в России и Украине.

Win32/Corkow распространяется наиболее типичным на сегодняшний день методом – скрытая установка с использованием разного рода программных уязвимостей (drive-by download).

Как и другие банковские трояны (Zeus, Carberp, Hesperbot, Qadars и др.), Win32/Corkow имеет модульную архитектуру. Он состоит из основного модуля и нескольких плагинов, каждый из которых отвечает за соответствующие возможности. Далее представлены некоторые модули, обнаруженные экспертами ESET в «препарированных» образцах Win32/Corkow:

  • Core – основной компонент, отвечающий за внедрение других модулей. Поддерживает создание скриншотов, перечисление смарт-карт и блокировку запуска приложений;
  • MON – собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников;
  • FG – реализует веб-инъекции и кражу данных веб-форм;
  • KLG – кейлоггер;
  • HVNC – позволяет атакующему удаленно подключаться к зараженному компьютеру;
  • PG – используется для захвата аутентификационных данных;
  • PONY – используется для кражи паролей от различных сервисов (детектируется антивирусными продуктами ESET NOD32 как Win32/PSW.Fareit).

Вышеперечисленные функции типичны для банковских троянов, но Win32/Corkow имеет и другие возможности. Он содержит специальные модули для компрометации приложений, которые используют корпоративные пользователи: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. Это указывает на то, что злоумышленники концентрируют усилия на финансовых специалистах и компаниях, баланс банковских счетов которых превышает среднестатистический.

Помимо кражи данных, Win32/Corkow обладает возможностью уничтожать произвольные файлы на диске, а при поступлении соответствующей команды – удалять себя с зараженного компьютера, вызывая при этом серьезные повреждения операционной системы.

Win32/Corkow имеет модули, направленные на компрометацию некоторых банковских программ и сайтов, с поддержкой русского, украинского и английского языков. Особое внимание злоумышленники уделяют российским и украинским банкам, но помимо этого троян «интересуется» финансовыми учреждениями Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии, Великобритании и Кипра.

Эксперты ESET рекомендуют пользователям при работе в сети соблюдать следующие меры безопасности:

  • убедитесь, что на компьютере установлено и регулярно обновляется современное антивирусное ПО («пиратские» антивирусы, как правило, обновляться не умеют);
  • используйте 64-битные версии Windows, начиная от Windows 7 – они менее чувствительны к заражению drive-by download;
  • регулярно обновляйте операционную систему (опция включена по умолчанию);
  • используйте преимущества Admin Approval Mode и не работайте под встроенной учетной записью администратора;
  • используйте браузеры с поддержкой sandbox и других технологий, которые ограничивают процессы вкладок в исполняемых ими действиях.

Более подробную информацию о банковском трояне Win32/Corkow вы найдете в блоге ESET: http://habrahabr.ru/company/eset/blog/214197/