Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Opisi virusa, 12.02.2014, 07:15 AM

Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Stručnjaci kompanije ESET već izvesno vreme prate aktivnosti malo poznatog bankarskog Trojanca Corkow, koji je poreklom iz Rusije, i koji je do sada inficirao hiljade računara uglavnom korisnika iz Rusije i Ukrajine.

U ESET-u kažu da se dnevno zabeleži nekoliko stotina infekcija Trojancem Corkow ali da ovaj bankarski Trojanac još uvek nije uspeo da privuče pažnju stručnjaka i medija kao što je to uspeo njegov poznatiji rođak Carberp.

Prema rečima stručnjaka, Corkow je modularan što znači da njegovi autori mogu da proširuju kapacitete malvera različitim dodacima.

Corkow može da beleži kucanje na tastaturi i tako krade lozinke, da pravi snimke ekrana, i da po ugledu na najpoznatijeg bankarskog Trojanca Zeus, a verovatno i oslanjajući se na njegov procureli izvorni kod, ubacuje stranice i formulare sa ciljem da prevari korisnike da predaju svoje lične podatke sajber kriminalcima.

Osim ovoga, Corkow sadrži i module koji omogućavaju hakerima daljinski pristup i instalaciju univerzalnog programa za krađu lozinki “Pony” koga ESET antivirus detektuje kao Win32/PSW.Fareit.

Oko 73% infekcija Trojancem Corkow ESET je zabeležio u Rusiji, a po broju infekcija na drugom mestu je Ukrajina, posle koje slede Italija, Belorusija i Kazahstan.

To što je Rusija na pravom mestu na listi zemalja sa najvećim brojem infekcija ne čudi s obzirom da Corkow ima modul koji cilja na iBank2 sistem koga koriste mnoge ruske banke i preduzeća koja su klijenti ovih banaka.

Poseban modul malvera cilja na aplikacije najveće ruske banke Sberbank.

Corkow može da prikuplja i različite informacije sa nekoliko mesta na zaraženom računaru, kao što je istorija pretrage, informacije o instaliranim programima, o tome kada su programi poslednji put korišćeni i listu aktivnih procesa.

Zanimljivo je i da je Corkow zainteresovan za web sajtove i softver koji je povezan sa digitalnom valutom Bitcoin, ali i računare koji pripadaju programerima Android aplikacija koji svoje aplikacije objavljuju na Google Play. Jasno je šta je ideja autora malvera kada je reč o pristupanju Bitcoin nalozima žrtava, ali je jasno i kakve posledice mogu biti ako malver uspe da ukrade podatke za prijavljivanje na naloge programera Android aplikacija i preda ih kriminalcima.

Kriminalci koji stoje iza malvera koji im donose profit ne žele da njihovi maliciozni programi privuku pažnju stručnjaka. Zato mnogi savremeni malveri pokušavaju da provere da li se nalaze u kontrolisanim, laboratorijskim uslovima pre nego što krenu u akciju.

Corkow se i u tom pogledu izdvaja od srodnih malvera. Kada se instalira, payload malvera se šifruje pomoću Volume Serial Number na C disku i ponaša se bezazleno ako radi na posebnom računaru, dakle, ne na onom koga je prvobitno zarazio.

To otežava analizu istraživača i automatizovanih sistema, što je verovatno razlog zbog čega je malver do sada izbegao da njegov maliciozni kod bude detaljno ispitan.

Slučaj Trojanca Corkow je zanimljiv i zbog toga što je malver bio neaktivan mesecima, nakon što je prvi put uočen u oktobru 2011. godine, da bi se iznenada aktivirao prošle godine.

ESET će naredne nedelje objaviti detaljnu analizu malvera koja će biti dopunjena novim saznanjima stručnjaka kompanije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver koji krade kriptovalute sakriven u programu za instalaciju Tor pretraživača

Malver koji krade kriptovalute sakriven u programu za instalaciju Tor pretraživača

Trojanizovani programi za instalaciju anonimnog pretraživača Tor koriste se za infekciju uređaja korisnika pre svega u Rusiji i Evropi takozvanim c... Dalje

Novi malver MacStealer krade lozinke korisnika Appleovih računara

Novi malver MacStealer krade lozinke korisnika Appleovih računara

Novi malver za krađu informacija sa računara sa macOS operativnim sistemom, nazvan MacStealer, najnoviji je primer pretnje koja koristi Telegram kao... Dalje

Sa ChatGPT napravljen polimorfni malver

Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje