Антивирусная компания ESET представила
результаты анализа банковского трояна Win32/Corkow, ориентированного на
российские и украинские системы дистанционного банковского
обслуживания.
Win32/Corkow предназначен для кражи
конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации
с 2011 года и продемонстрировал непрерывную активность в прошлом году.
Экспертами ESET обнаружены различные версии модулей Win32/Corkow, что
указывает на непрерывный цикл его разработки. По данным вирусной
лаборатории компании, жертвами этого вредоносного ПО уже стали несколько
тысяч пользователей в России и на Украине.
Win32/Corkow
распространяется наиболее типичным на сегодняшний день методом – скрытая
установка с использованием разного рода программных уязвимостей
(drive-by download).
Как и другие банковские трояны (Zeus,
Carberp, Hesperbot, Qadars и др.), Win32/Corkow имеет модульную
архитектуру. Он состоит из основного модуля и нескольких плагинов,
каждый из которых отвечает за соответствующие возможности. Далее
представлены некоторые модули, обнаруженные экспертами ESET в
«препарированных» образцах Win32/Corkow:
• Core – основной
компонент, отвечающий за внедрение других модулей. Поддерживает создание
скриншотов, перечисление смарт-карт и блокировку запуска приложений;
• MON – собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников;
• FG – реализует веб-инъекции и кражу данных веб-форм;
• KLG – кейлоггер;
• HVNC – позволяет атакующему удаленно подключаться к зараженному компьютеру;
• PG – используется для захвата аутентификационных данных;
•
PONY – используется для кражи паролей от различных сервисов
(детектируется антивирусными продуктами ESET NOD32 как
Win32/PSW.Fareit).
Вышеперечисленные функции типичны для
банковских троянов, но Win32/Corkow имеет и другие возможности. Он
содержит специальные модули для компрометации приложений, которые
используют корпоративные пользователи: сайтов и приложений банков и
трейдинговых платформ, сайтов Bitcoin, средств разработки приложений
Android. Это указывает на то, что злоумышленники концентрируют усилия на
финансовых специалистах и компаниях, баланс банковских счетов которых
превышает среднестатистический.
Помимо кражи данных, Win32/Corkow
обладает возможностью уничтожать произвольные файлы на диске, а при
поступлении соответствующей команды – удалять себя с зараженного
компьютера, вызывая при этом серьезные повреждения операционной системы.
Win32/Corkow
имеет модули, направленные на компрометацию некоторых банковских
программ и сайтов с поддержкой русского, украинского и английского
языков. Особое внимание злоумышленники уделяют российским и украинским
банкам, но помимо этого троян «интересуется» финансовыми учреждениями
Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии,
Великобритании и Кипра.
Эксперты ESET рекомендуют пользователям при работе в сети соблюдать следующие меры безопасности:
•
убедитесь, что на компьютере установлено и регулярно обновляется
современное антивирусное ПО («пиратские» антивирусы, как правило,
обновляться не умеют);
• используйте 64-битные версии Windows, начиная от Windows 7 – они менее чувствительны к заражению drive-by download;
• регулярно обновляйте операционную систему (опция включена по умолчанию);
• используйте преимущества Admin Approval Mode и не работайте под встроенной учетной записью администратора;
•
используйте браузеры с поддержкой sandbox и других технологий, которые
ограничивают процессы вкладок в исполняемых ими действиях.
|
Главная 
