«Младший брат» Carberp похищает данные онлайн-банкинга

Компания ESET предупреждает об активизации банковского трояна Win32/Corkow, поражающего системы дистанционного банковского обслуживания (ДБО).

Win32/Corkow (ESET NOD32) - комплексная вредоносная программа, которая предназначена для хищения аутентификационных данных для онлайн-банкинга. При этом все атаки, осуществляющие при помощи данной вредоносной программы, пока что направлены только на пользователей из России и Украины, на которых приходится 86% всех заражений.

Первые модификации этого трояна появились в 2011 году, но, в отличие от широко известного трояна Carberp, Corkow не стал настолько известным. Подобно другим банковским троянам, Corkow имеет модульную архитектуру, чтобы по мере необходимости расширять спектр его возможностей для хищения конфиденциальных данных.  

Вирус имеет российское происхождение. Троян содержит вредоносный модуль, нацеленный на систему онлайн-банкинга iBank2, используемую российскими банками и их клиентами. «По своей структуре и возможностям эта вредоносная программа действительно похожа на печально известный Carberp. Вредоносный код Java, который используется для атаки на iBank2, содержит строки русского и украинского языка, которые используются в этой системе дистанционного банковского обслуживания, что явно указывает на его направленность на Россию и Украину», – говорит Антон Черепанов, исследователь ESET.

В арсенале вредоносной программы есть также клавиатурный шпион, модуль для снятия скриншотов с рабочего стола, веб-инъекций и кражи данных веб-форм. Вирус поддерживает удаленный доступ к зараженному компьютеру и установку другой вредоносной программы для кражи паролей – Pony (детектируется антивирусными продуктами ESET как Win32/PSW.Fareit). Еще одна характерная особенность этого вируса – ориентация на веб-сайты и программное обеспечение, которые относятся к виртуальной валюте Bitcoin, а также компьютеры разработчиков приложений для Android. Далее злоумышленники могут получить доступ к аккаунтам счетов Bitcoin.