Rambler's Top100
Все новости Новости отрасли

Троян для бизнес-пользователей

03 марта 2014

ESET представляет результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.

Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 года и продемонстрировал непрерывную активность в прошлом году. Экспертами ESET обнаружены различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки. По данным вирусной лаборатории компании, жертвами вредоносногоПО уже стали несколько тысяч пользователей в России и Украине.

Win32/Corkow распространяется наиболее типичным на сегодняшний день методом –скрытая установка с использованием разного рода программных уязвимостей(drive-by download).

Как и другие банковские трояны (Zeus, Carberp, Hesperbot, Qadars и др.), Win32/Corkow имеет модульную архитектуру. Он состоит из основного модуля и нескольких плагинов, каждый из которых отвечает за соответствующие возможности. Далее представлены некоторые модули, обнаруженные экспертами ESET в «препарированных» образцах Win32/Corkow:

  • Core – основной компонент, отвечающий за внедрение других модулей. Поддерживаетсоздание скриншотов, перечисление смарт-карт и блокировку запуска приложений;
  • MON – собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников;
  • FG – реализует веб-инъекции и кражу данных веб-форм;
  • KLG –кейлоггер;
  • HVNC – позволяет атакующему удаленно подключаться к зараженному компьютеру;
  • PG – используется для захвата аутентификационных данных;
  • PONY – используется для кражи паролей от различных сервисов(детектируется антивирусными продуктами ESET NOD32 как Win32/PSW.Fareit).

Вышеперечисленные функции типичны для банковских троянов, но Win32/Corkowимеет и другие возможности. Он содержит специальные модули для компрометации приложений, которые используют корпоративные пользователи: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. Это указывает на то, что злоумышленники концентрируют усилия на финансовых специалистах и компаниях, баланс банковских счетов которых превышает среднестатистический.

Помимо кражи данных, Win32/Corkow обладает возможностью уничтожать произвольные файлы на диске, а при поступлении соответствующей команды – удалять себя с зараженного компьютера, вызываяпри этом серьезные повреждения операционной системы.

Win32/Corkow имеет модули, направленные на компрометацию некоторых банковских программ и сайтов, с поддержкой русского, украинского и английского языков. Особое внимание злоумышленники уделяют российским и украинским банкам, но помимо этого троян «интересуется» финансовымиучреждениями Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии, Великобритании и Кипра.

Эксперты ESET рекомендуют пользователям при работе в сети соблюдать следующие меры безопасности:

  • убедитесь, что на компьютере установлено и регулярно обновляется современное антивирусное ПО («пиратские» антивирусы, как правило, обновляться не умеют);
  • используйте 64-битные версии Windows, начиная от Windows 7 – они менее чувствительны к заражению drive-by download;
  • регулярно обновляйте операционную систему (опция включена по умолчанию);
  • используйте преимущества Admin Approval Mode и не работайте под встроенной учетной записью администратора;
  • используйте браузеры с поддержкой sandbox и других технологий, которые ограничивают процессы вкладок в исполняемых ими действиях.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.