Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Opisi virusa, 12.02.2014, 07:15 AM

Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Stručnjaci kompanije ESET već izvesno vreme prate aktivnosti malo poznatog bankarskog Trojanca Corkow, koji je poreklom iz Rusije, i koji je do sada inficirao hiljade računara uglavnom korisnika iz Rusije i Ukrajine.

U ESET-u kažu da se dnevno zabeleži nekoliko stotina infekcija Trojancem Corkow ali da ovaj bankarski Trojanac još uvek nije uspeo da privuče pažnju stručnjaka i medija kao što je to uspeo njegov poznatiji rođak Carberp.

Prema rečima stručnjaka, Corkow je modularan što znači da njegovi autori mogu da proširuju kapacitete malvera različitim dodacima.

Corkow može da beleži kucanje na tastaturi i tako krade lozinke, da pravi snimke ekrana, i da po ugledu na najpoznatijeg bankarskog Trojanca Zeus, a verovatno i oslanjajući se na njegov procureli izvorni kod, ubacuje stranice i formulare sa ciljem da prevari korisnike da predaju svoje lične podatke sajber kriminalcima.

Osim ovoga, Corkow sadrži i module koji omogućavaju hakerima daljinski pristup i instalaciju univerzalnog programa za krađu lozinki “Pony” koga ESET antivirus detektuje kao Win32/PSW.Fareit.

Oko 73% infekcija Trojancem Corkow ESET je zabeležio u Rusiji, a po broju infekcija na drugom mestu je Ukrajina, posle koje slede Italija, Belorusija i Kazahstan.

To što je Rusija na pravom mestu na listi zemalja sa najvećim brojem infekcija ne čudi s obzirom da Corkow ima modul koji cilja na iBank2 sistem koga koriste mnoge ruske banke i preduzeća koja su klijenti ovih banaka.

Poseban modul malvera cilja na aplikacije najveće ruske banke Sberbank.

Corkow može da prikuplja i različite informacije sa nekoliko mesta na zaraženom računaru, kao što je istorija pretrage, informacije o instaliranim programima, o tome kada su programi poslednji put korišćeni i listu aktivnih procesa.

Zanimljivo je i da je Corkow zainteresovan za web sajtove i softver koji je povezan sa digitalnom valutom Bitcoin, ali i računare koji pripadaju programerima Android aplikacija koji svoje aplikacije objavljuju na Google Play. Jasno je šta je ideja autora malvera kada je reč o pristupanju Bitcoin nalozima žrtava, ali je jasno i kakve posledice mogu biti ako malver uspe da ukrade podatke za prijavljivanje na naloge programera Android aplikacija i preda ih kriminalcima.

Kriminalci koji stoje iza malvera koji im donose profit ne žele da njihovi maliciozni programi privuku pažnju stručnjaka. Zato mnogi savremeni malveri pokušavaju da provere da li se nalaze u kontrolisanim, laboratorijskim uslovima pre nego što krenu u akciju.

Corkow se i u tom pogledu izdvaja od srodnih malvera. Kada se instalira, payload malvera se šifruje pomoću Volume Serial Number na C disku i ponaša se bezazleno ako radi na posebnom računaru, dakle, ne na onom koga je prvobitno zarazio.

To otežava analizu istraživača i automatizovanih sistema, što je verovatno razlog zbog čega je malver do sada izbegao da njegov maliciozni kod bude detaljno ispitan.

Slučaj Trojanca Corkow je zanimljiv i zbog toga što je malver bio neaktivan mesecima, nakon što je prvi put uočen u oktobru 2011. godine, da bi se iznenada aktivirao prošle godine.

ESET će naredne nedelje objaviti detaljnu analizu malvera koja će biti dopunjena novim saznanjima stručnjaka kompanije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Žrtve ransomwarea GandCrab koji je inficirao 1,5 miliona računara sada mogu da dešifruju besplatno svoje fajlove

Istraživači iz kompanije BitDefender objavili su ažuriranu verziju alata za dešifrovanje fajlova koje je šifrovao ransomware GandCrab, koji bi mo... Dalje

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje