Пресс-центр
3 марта 2014
Win32/Corkow нацелен на бизнес-пользователей
Москва, 3 марта 2014 г. Международная антивирусная компания ESET представляет результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.
Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 года и продемонстрировал непрерывную активность в прошлом году. Экспертами ESET обнаружены различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки. По данным вирусной лаборатории компании, жертвами вредоносного ПО уже стали несколько тысяч пользователей в России и Украине.
Win32/Corkow распространяется наиболее типичным на сегодняшний день методом – скрытая установка с использованием разного рода программных уязвимостей (drive-by download).
Как и другие банковские трояны (Zeus, Carberp, Hesperbot, Qadars и др.), Win32/Corkow имеет модульную архитектуру. Он состоит из основного модуля и нескольких плагинов, каждый из которых отвечает за соответствующие возможности. Далее представлены некоторые модули, обнаруженные экспертами ESET в «препарированных» образцах Win32/Corkow:
- Core – основной компонент, отвечающий за внедрение других модулей. Поддерживает создание скриншотов, перечисление смарт-карт и блокировку запуска приложений;
- MON – собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников;
- FG – реализует веб-инъекции и кражу данных веб-форм;
- KLG – кейлоггер;
- HVNC – позволяет атакующему удаленно подключаться к зараженному компьютеру;
- PG – используется для захвата аутентификационных данных;
- PONY – используется для кражи паролей от различных сервисов (детектируется антивирусными продуктами ESET NOD32 как Win32/PSW.Fareit).
Вышеперечисленные функции типичны для банковских троянов, но Win32/Corkow имеет и другие возможности. Он содержит специальные модули для компрометации приложений, которые используют корпоративные пользователи: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. Это указывает на то, что злоумышленники концентрируют усилия на финансовых специалистах и компаниях, баланс банковских счетов которых превышает среднестатистический.
Помимо кражи данных, Win32/Corkow обладает возможностью уничтожать произвольные файлы на диске, а при поступлении соответствующей команды – удалять себя с зараженного компьютера, вызывая при этом серьезные повреждения операционной системы.
Win32/Corkow имеет модули, направленные на компрометацию некоторых банковских программ и сайтов, с поддержкой русского, украинского и английского языков. Особое внимание злоумышленники уделяют российским и украинским банкам, но помимо этого троян «интересуется» финансовыми учреждениями Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии, Великобритании и Кипра.
Эксперты ESET рекомендуют пользователям при работе в сети соблюдать следующие меры безопасности:
- убедитесь, что на компьютере установлено и регулярно обновляется современное антивирусное ПО («пиратские» антивирусы, как правило, обновляться не умеют);
- используйте 64-битные версии Windows, начиная от Windows 7 – они менее чувствительны к заражению drive-by download;
- регулярно обновляйте операционную систему (опция включена по умолчанию);
- используйте преимущества Admin Approval Mode и не работайте под встроенной учетной записью администратора;
- используйте браузеры с поддержкой sandbox и других технологий, которые ограничивают процессы вкладок в исполняемых ими действиях.
Более подробную информацию о банковском трояне Win32/Corkow вы найдете в блоге ESET: http://habrahabr.ru/company/eset/blog/214197/