Новый пожиратель денег

Материал из CompromatWiki
Перейти к: навигация, поиск

Новый пожиратель денег FLB: ESET рекомендует не переходить по подозрительным ссылкам в социальных сетях, онлайн-мессенджерах или электронной почте

"
725ceae1f5ad24b3928bbe3a4c4e28f0.jpeg
Международная антивирусная компания ESET предупреждает об активизации банковского трояна Win32/Corkow, поражающего системы дистанционного банковского обслуживания. Атаки вредоносной программы направлены на пользователей из России и Украины, на них приходится 86% заражений, сообщил пресс-центр ESET. Win32/Corkow – комплексная вредоносная программа, предназначенная для хищения аутентификационных данных для онлайн-банкинга. Первые ее модификации появились в 2011 году, но, в отличие от широко известного трояна Carberp, Corkow до сих пор не стал настолько известным.
91126ea0c0c5ff4c58c2e2dee9ad9c91.png
География распространения банковского трояна Win32/Corkow Подобно другим банковским троянам, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут по мере необходимости расширять спектр его возможностей для хищения конфиденциальных данных , информирует пресс-центр. Как показано на диаграмме выше, больше всего заражений приходится на Россию и Украину (73 и 13% соответственно) . Неудивительно, что эти страны пострадали больше других, так как Win32/Corkow имеет российское происхождение . Троян содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами. Первые модификации Corkow появились еще в 2011 г., тогда же она была добавлена в антивирусные базы. В отличие от Carberp, который получил мировую известность, Corkow не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время. Кроме этого, Corkow содержит модуль для атаки на приложение Сбербанка, которое используется для онлайн-банкинга, дополняет comss.info.
183e85f832388da7c89b2ec8f3fac4f6.jpeg
На скриншоте показана часть вредоносного кода на Java, которая содержит строки русского и украинского языков. Эти строки используются в iBank2 при отображении информации о балансе счета пользователя. С использованием этой вредоносной программы злоумышленники собирают на скомпрометированном компьютере пользователя следующую информацию: историю посещений веб-браузера, список установленных приложений, время их последнего использования, а также список запущенных процессов. Исходя из списка приложений, за которыми охотится Corkow, для нас очевидно, что злоумышленников интересуют различные приложения трейдинговых платформ, а также приложения для работы с онлайн-банкингом. Другой интересной особенностью Corkow является его ориентация на веб-сайты и соответствующее ПО, которое относится к виртуальной валюте Bitcoin, а также компьютеры, которые принадлежат разработчикам приложений для Android, которые размещают свои приложения на Google Play. Далее злоумышленники могут осуществить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями. Corkow шифрует свою полезную нагрузку с использованием идентификатора серийного номера тома диска C:, таким образом делая бесперспективным его анализ где-либо на другом компьютере. Наша система телеметрии, пишет comss.ru, фиксировала резкие спады и подъемы в активности этой вредоносной программы с начала ее первого обнаружения в октябре 2011 г. Во второй половине 2012 г. наблюдался спад ее активности, после чего активность снова возросла.
D3c690b3a0822ccecf4246c2e114490c.jpeg
Возможно группа, распространявшая Corkow, была привлечена к уголовной ответственности, о чем может свидетельствовать продолжительный спад в активности вредоносной программы во второй половине 2012 г. В следующей части comss.info планирует опубликовать детальное исследование этой вредоносной программы. «Проанализировав Win32/Corkow, мы пришли к выводу, что по своей структуре и возможностям эта вредоносная программа действительно похожа на печально известный Carberp. Вредоносный код Java, который используется для атаки на iBank2, содержит строки русского и украинского языка, которые используются в этой системе дистанционного банковского обслуживания, что явно указывает на его направленность на Россию и Украину», – говорит Антон Черепанов, исследователь ESET, который осуществлял анализ Win32/Corkow. В арсенале Win32/Corkow есть также клавиатурный шпион, модуль для снятия скриншотов с рабочего стола, веб-инъекций и кражи данных веб-форм. Кроме того, троян поддерживает удаленный доступ к зараженному компьютеру и установку другой вредоносной программы для кражи паролей – Pony (детектируется антивирусными продуктами ESET как Win32/PSW.Fareit). Еще одна характерная особенность Corkow – ориентация на веб-сайты и соответствующее ПО, которое относится к виртуальной валюте Bitcoin, а также компьютеры разработчиков приложений для Android . Далее злоумышленники могут получить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями. Эксперты ESET продолжают следить за активностью злоумышленников и рекомендуют пользователям соблюдать осторожность, не переходить по подозрительным ссылкам в социальных сетях, онлайн-мессенджерах или электронной почте, использовать современные антивирусные продукты для защиты от киберугроз . Для тех, кто хочет понять, в чем дело, «Хакер» предлагает подробности своего исследования вредоносной программы Ранее на эту тему на FLB: Биткойновые войны Хакеры забили «Стрелку» «Ахиллесова пятка» национальной безопасности Вирусописатели пойманы в России Ты за кого, Сноуден? "
631e1fcac8dc17991f13cb1db2038ef8.gif

Ссылки

Источник публикации