Новый троянец для российских систем ДБО

Компания ESET сообщила об активизации банковского троянца Win32/Corkow, который поражает системы дистанционного банковского обслуживания. Атаки направлены на пользователей из России и Украины, на них приходится 86% заражений.

Win32/Corkow – комплексная вредоносная программа, предназначенная для хищения аутентификационных данных для онлайн-банкинга. Первые ее модификации появились в 2011 г., но она не стала широко известной, в отличие от троянца Carberp. Подобно другим банковским троянам, Win32/Corkow имеет модульную архитектуру, а значит, злоумышленники могут по мере необходимости расширять спектр его возможностей.

Троянец имеет российское происхождение, соответственно, больше всего заражений приходится на Россию (73%) и Украину (13%). Программа содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которую используют российские банки и их клиенты. Как обнаружили исследователи из ESET, вредоносный код Java, который используется для атаки на iBank2, содержит строки русского и украинского языка.

В арсенал Win32/Corkow также входят клавиатурный шпион, модуль для снятия скриншотов с рабочего стола, Web-инъекций и кражи данных Web-форм. Кроме того, троянец поддерживает удаленный доступ к зараженному компьютеру и установку другой вредоносной программы для кражи паролей – Pony (детектируется антивирусными продуктами ESET как Win32/PSW.Fareit).

Еще одна характерная особенность Corkow – ориентация на сайты и соответствующее ПО, которое относится к виртуальной валюте Bitcoin, а также компьютеры разработчиков приложений для Android. Далее злоумышленники могут получить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей.