Анализ банковского троянца Win32/Corkow

--> Дата: Мар 13, 2014 43

Компания ESET представила результаты анализа троянской программы Win32/Corkow, ориентированной на российские и украинские системы дистанционного банковского обслуживания. Троянец предназначен для кражи конфиденциальных данных онлайн-банкинга, он эксплуатировался с 2011 г., а в прошлом году демонстрировал непрерывную активность. Эксперты ESET обнаружили различные версии модулей Win32/Corkow, что указывает на непрерывный цикл его разработки. По данным вирусной лаборатории компании, жертвами вредоносного ПО стали несколько тысяч пользователей в России и Украине.

Win32/Corkow распространяется наиболее типичным на сегодняшний день методом – скрытая установка с использованием разного рода программных уязвимостей (drive-by download). Как и другие банковские троянцы (Zeus, Carberp, Hesperbot, Qadars), он имеет модульную архитектуру, включающую основной модуль и несколько плагинов, каждый из которых отвечает за соответствующие возможности. В частности, эксперты ESET обнаружили в «препарированных» образцах Win32/Corkow следующие модули:

Core – основной компонент, отвечающий за внедрение других модулей. Поддерживает создание скриншотов, перечисление смарт-карт и блокировку запуска приложений;
MON – собирает информацию о системе и отправляет ее на удаленный сервер злоумышленников;
FG – реализует веб-инъекции и кражу данных веб-форм;
KLG – кейлоггер;
HVNC – позволяет атакующему удаленно подключаться к зараженному компьютеру;
PG – используется для захвата аутентификационных данных;
PONY – используется для кражи паролей от различных сервисов (детектируется антивирусными продуктами ESET NOD32 как Win32/PSW.Fareit).

Все эти функции типичны для банковских троянцев, но Win32/Corkow имеет и другие возможности. Он содержит специальные модули для компрометации приложений, с которыми работают корпоративные пользователи: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. Это указывает на то, что злоумышленники концентрируют усилия на финансовых специалистах и компаниях, баланс банковских счетов которых превышает среднестатистический.

Помимо кражи данных, Win32/Corkow способен уничтожать произвольные файлы на диске, а при поступлении соответствующей команды – удалять себя с зараженного компьютера, вызывая серьезные повреждения ОС.

Win32/Corkow имеет модули, направленные на компрометацию некоторых банковских программ и сайтов, с поддержкой русского, украинского и английского языков. Особое внимание злоумышленники уделяют российским и украинским банкам, но троянец «интересуется» также финансовыми учреждениями Швейцарии, Сингапура, Латвии, Литвы, Эстонии, Дании, Хорватии, Великобритании и Кипра.