Антивирусная компания ESET представила результаты анализа банковского трояна Win32/Corkow, ориентированного на российские и украинские системы дистанционного банковского обслуживания.
Win32/Corkow предназначен для кражи конфиденциальных данных для онлайн-банкинга. Он находился в эксплуатации с 2011 года. Распространяется наиболее типичным на сегодняшний день методом – скрытая установка с использованием разного рода программных уязвимостей. Как и другие банковские трояны (Zeus, Carberp, Hesperbot, Qadars и др.), Win32/Corkow имеет модульную архитектуру. Он состоит из основного модуля и нескольких плагинов, каждый из которых отвечает за соответствующие возможности.
Помимо прочего он содержит специальные модули для компрометации приложений, которые используют корпоративные пользователи: сайтов и приложений банков и трейдинговых платформ, сайтов Bitcoin, средств разработки приложений Android. Это указывает на то, что злоумышленники концентрируют усилия на финансовых специалистах и компаниях.
Помимо кражи данных, Win32/Corkow обладает возможностью уничтожать произвольные файлы на диске, а при поступлении соответствующей команды – удалять себя с зараженного компьютера, вызывая при этом серьезные повреждения операционной системы.