Банковский троян Win32/Corkow атакует российских пользователей

    Наша антивирусная лаборатория обнаружила высокую активность сложной банковской вредоносной программы российского происхождения Win32/Corkow, с помощью которой были заражены тысячи компьютеров. Первые модификации Corkow появились еще в 2011 г., тогда же она была добавлена в антивирусные базы. В отличие от Carberp, который получил мировую известность, Corkow не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время.



    Подобно другим банковским вредоносным инструментам как, например, Hesperbot, который был раскрыт исследователями ESET в сентябре прошлого года, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут расширять возможности этого вредоносного ПО необходимыми для них плагинами. Подобные модули или плагины обеспечивают для злоумышленников доступ к конфиденциальным данным пользователя через следующие возможности: клавиатурный шпион (кейлоггер), создание скриншотов рабочего стола, веб-инъекции и кражу данных веб-форм.

    Кроме вышеперечисленных возможностей Win32/Corkow также предоставляет злоумышленникам удаленный доступ к зараженному компьютеру (backdoor) и является установщиком (downloader) в систему другой вредоносной программы для кражи паролей «Pony» (обнаруживается антивирусными продуктами ESET как Win32/PSW.Fareit). Таким образом с помощью этой вредоносной программы злоумышленники имеют полный доступ к данным скомпрометированного пользователя.



    Как показано на диаграмме выше наибольшее количество заражений 73% приходится на Россию, при этом Украина занимает второе место 13%. Неудивительно, что эти страны пострадали больше других, так как сам Corkow имеет российское происхождение и содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами для быстрого выполнения банковских операций. Кроме этого, Corkow содержит модуль для атаки на приложение Сбербанка, которое используется для онлайн-банкинга.



    Выше на скриншоте показана часть вредоносного кода на Java, которая содержит строки русского и украинского языков. Эти строки используются в iBank2 при отображении информации о балансе счета пользователя.

    С использованием этой вредоносной программы злоумышленники собирают на скомпрометированном компьютере пользователя следующую информацию: историю посещений веб-браузера, список установленных приложений, время их последнего использования, а также список запущенных процессов. Исходя из списка приложений, за которыми охотится Corkow, для нас очевидно, что злоумышленников интересуют различные приложения трейдинговых платформ, а также приложения для работы с онлайн-банкингом.

    Другой интересной особенностью Corkow является его ориентация на веб-сайты и соответствующее ПО, которое относится к виртуальной валюте Bitcoin, а также компьютеры, которые принадлежат разработчикам приложений для Android, которые размещают свои приложения на Google Play. Далее злоумышленники могут осуществить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями.

    Corkow шифрует свою полезную нагрузку с использованием идентификатора серийного номера тома диска C:, таким образом делая бесперспективным его анализ где-либо на другом компьютере.

    Наша система телеметрии фиксировала резкие спады и подъемы в активности этой вредоносной программы с начала ее первого обнаружения в октябре 2011 г. Во второй половине 2012 г. наблюдался спад ее активности, после чего активность снова возросла.



    Возможно группа, распространявшая Corkow, была привлечена к уголовной ответственности, о чем может свидетельствовать продолжительный спад в активности вредоносной программы во второй половине 2012 г.

    В следующей части мы опубликуем детальное исследование этой вредоносной программы.

    ESET NOD32

    84,00

    Компания

    Поделиться публикацией

    Похожие публикации

    Комментарии 23
      0
      А что за приложение от Сбербанка такое, не подскажите? У них вроде бы Сбербанк.Онлайн через браузер работает.
        0
        На онлайн перешли только в прошлом году, а в 2011 использовался клиент.
          +2
          И сейчас есть клиент: «Клиент-Сбербанк»
            0
            для корпоративных пользователей only
              0
              А для чего частнику клиент? И браузерной версии достаточно.
            0
            А в 2012?
          +6
          Corkow шифрует свою полезную нагрузку с использованием идентификатора серийного номера тома диска C:
          таким образом делая возможным «лечение» зараженного компьютера простой сменой серийника раздела?
            –1
            обычно кодеры используют привязку по серийнику самого жесткого диска, вариант со сменой серийника исключит вас из базы отработанных пк злоумышленников, т.е. могут заразить еще раз
            этот продуманный умышленно или нет вариант умнее, подразумевает снос системы — то же смена пк, т.е. возможно попадется что нибудь при вводе инфо обновленного пк

              +1
              Шифроваться можно используя все что хочешь, начиная от какого-нибудь уникального registry entry заканчивая environment переменными типа %USERNAME%, %APPDATA% и т.д., да хоть creation time какого-нибудь системного файла, что в результате тоже делает «бесперспективным его анализ где-либо на другом компьютере».
                –1
                имелось в виду, что если лоадер залился на флеш/другой съемный носитель (например фотокамера или телефон — а что там тоже карточки используются!), либо куда то на другие диски прописался через ярлыки (что часто бывает с системами Win*), сработает повторный запуск и система вроде бы как новая…
                  0
                  Такое само-шифрование имеет смысл только, если закончив его loader само-удалился. Иначе анализ — как два пальца…
            0
            Долгое время читаю про банковские трояны и не перестаю удивляться — как они деньги выводят из банковской системы да еще в солидных объемах?
              +1
              Перечисление на счет другой компании, перевод со счета этой компании на карточки физлиц, снятие денег дропами в банкоматах. Суммы до 1 млн рублей не попадают под более пристальный контроль со стороны банков, переводят по 900 тысяч
                0
                Ну так нехилая мафия. Компанию зарегать (со счетом в банке!), карточки, дропы… Хотя наверно как раз в РФ с компанией попроще будет, интересно, а что делаю их зарубежные коллеги? Никогда не слышал про западные «однодневки».
                  0
                  Да не, какие физлица, не будут они так палиться. Наверняка используют готовую услугу обнала. Получают реквизиты прокладки и сливают все на нее. За определенный % им кэш отдают.
                    0
                    не думаю. как раз бытовой обнал не связывается с конкретной уголовщиной.
                      0
                      Это и есть — конкретная уголовщина.
                      Или вы про то, что обнальщики таким не станут заниматься? Не совсем ясно просто.
              0
              Я так понимаю, что единственная панацея — одноразовые пароли для входа, приходящие на мобильник.
                0
                одноразовые пароли для входа
                и для каждой транзакции — потому что войти-то вы вошли, а что там дальше троян от вашего имени наделает большой вопрос.

                Хорошая панацея — ключь в железе (dongle, card reader и т.д.), но тогда это уже что-нибудь типа HBCI, а не просто браузер.
                  0
                  Для организаций одноразовые пароли на вход — не вариант, входа там как такового нет, подписывается каждая транзакция. Сертификат/ключ — на флешке, постоянно воткнутой в комп, откуда его и тырят. Если вставлен токен, то все операции проделываются прямо на компе с банк-клиентом, включая подпись. При этом обойти дополнительные пароли (из устройства или смс) тоже несложно — из банк-клиента рано или поздно формируется нормальное платежное поручение, а подписывается и уходит в банк другое, подсунутое трояном. Если только присылать по смс пароль и сумму (реквизиты никто сверять не будет) — но это лишь ограничит улов
                    0
                    Так как вы описали ни одна банковская программа, слава богу, не работает: потому как ключом подписывается пронумерованый хэш на только-что созданные вами сообщения (которые лежат в исходящих и я их вижу, перед тем как говорю отправить и ввести пин). Другое сообщение подписать скрытно не получится, т.к. обычно вся коммуникация с банком и железным ключом на виду (например драйвера для ключа делаются так, чтобы было user interaction).
                    В общем и целом, я не думаю, что люди, способные осуществить такую подмену совершенно незаметно для пользователя, не заняты в IT на очень высокооплачеваемых работах.
                    Одно другому не мешает конечно, но нужен еще и всплеск криминальной «энергетики», звезды сошлись, удача не отвернулась…
                      0
                      Ради того, чтобы не платить ипотеку по 10 лет, хорошую работу можно сменить и на более рискованную. Люди, разрабатывающие малварь, как правило имеют очень высокую квалификацию.
                      Как сейчас не знаю, но лет 5 назад были массовые хищения трояном ориентированным именно на iBank. У одного не очень мелкого банка пострадали порядка 30 клиентов, суммы — в среднем 3-5 млн рублей.
                +1
                Кто-нибудь понял о чем говорит график активности? График выпадения осадков в Москве?

                Если сравнить с прекрасным баннером, который призывает срочно действовать, то можно понять пользователей которые ловят вирусы
                image

                Сделайте график информативным

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое