Троян Win32/Corkow атакует клиентов российских банков

Александр Панасенко 17 Февраля 2014 - 14:07

Общее

Android

Eset

Вредоносные программы

Трояны

...

Международная антивирусная компания ESET предупреждает об активизации банковского трояна Win32/Corkow, поражающего системы дистанционного банковского обслуживания. Атаки вредоносной программы направлены на пользователей из России и Украины, на них приходится 86% заражений.

Win32/Corkow – комплексная вредоносная программа, предназначенная для хищения аутентификационных данных для онлайн-банкинга. Первые ее модификации появились в 2011 году, но, в отличие от широко известного трояна Carberp, Corkow до сих пор не стал настолько известным.

География распространения банковского трояна Win32/Corkow

Подобно другим банковским троянам, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут по мере необходимости расширять спектр его возможностей для хищения конфиденциальных данных.

Как показано на диаграмме выше, больше всего заражений приходится на Россию и Украину (73 и 13% соответственно). Неудивительно, что эти страны пострадали больше других, так как Win32/Corkow имеет российское происхождение. Троян содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами.

«Проанализировав Win32/Corkow, мы пришли к выводу, что по своей структуре и возможностям эта вредоносная программа действительно похожа на печально известный Carberp. Вредоносный код Java, который используется для атаки на iBank2, содержит строки русского и украинского языка, которые используются в этой системе дистанционного банковского обслуживания, что явно указывает на его направленность на Россию и Украину», – говорит Антон Черепанов, исследователь ESET, который осуществлял анализ Win32/Corkow.

В арсенале Win32/Corkow есть также клавиатурный шпион, модуль для снятия скриншотов с рабочего стола, веб-инъекций и кражи данных веб-форм. Кроме того, троян поддерживает удаленный доступ к зараженному компьютеру и установку другой вредоносной программы для кражи паролей – Pony (детектируется антивирусными продуктами ESET как Win32/PSW.Fareit).

Еще одна характерная особенность Corkow – ориентация на веб-сайты и соответствующее ПО, которое относится к виртуальной валюте Bitcoin, а также компьютеры разработчиков приложений для Android. Далее злоумышленники могут получить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 04 Февраля 2026 - 13:26

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации Соответствие требованиям регуляторов

ВТБ, СДЭК и Самокат: расширён список сервисов без мобильного интернета

Перечень цифровых платформ, которые продолжают работать во время отключений мобильного интернета по соображениям безопасности, снова расширили. В него добавили банки, СМИ, сервисы доставки и ряд других популярных и социально значимых сервисов.

В обновлённый список вошли банки ВТБ и ПСБ, а также службы доставки «Сдэк», «Купер» и «Самокат».

Среди медиа теперь доступны ресурсы ВГТРК, телеканалы «Звезда», «Вместе-РФ» и «Матч ТВ», издания «Коммерсант» и «Парламентская газета», а также дистрибьютор телеканалов в цифровой среде «Витрина ТВ».

Расширение коснулось и государственных сервисов. Во время ограничений мобильного интернета продолжают работать отдельные сервисы ФНС для налогоплательщиков, Государственная информационная система ЖКХ, мобильное приложение «Инспектор» для дистанционных проверок бизнеса и онлайн-платформы «Росагролизинга».

В список также включены операторы электронного документооборота «Тензор» и «СКБ Контур», онлайн-кассы «Эвотор», железнодорожный перевозчик «Гранд Сервис Экспресс», маркетплейс «Мегамаркет», магазин «Детский мир» и сеть ресторанов быстрого питания «Бургер Кинг». Кроме того, доступ сохраняется к ряду региональных сервисов и сайтам правительств субъектов РФ.

Как отмечается, перечень формируется по согласованию с органами, отвечающими за вопросы безопасности, и включает наиболее вост

Напомним, ранее мы писали, что ФСБ России наложила вето на включение в белые списки рунета ресурсы банков, не установивших СОРМ. По этой причине профильные приложения Сбербанка, Т-Банка, Газпромбанка в этом перечне пока отсутствуют.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »