Win32/Corkow - еще один банковский троян


Win32/Corkow (ESET NOD32) - комплексная вредоносная программа, поражающая системы дистанционного банковского обслуживания (ДБО), а также предназначенная для хищения аутентификационных данных для онлайн-банкинга. При этом все атаки, осуществляющие при помощи данной вредоносной программы, пока что направлены только на пользователей из России и Украины, на которых приходится 86% всех заражений.

Geographi rasprostr bankovskogo troyana Win32Corkow
География распространения банковского трояна Win32/Corkow

Win32/Corkow имеет модульную архитектуру. Т.е., злоумышленники могут при необходимости расширять спектр его вредоносных возможностей для хищения конфиденциальных данных.

Согласно диаграмме, больше всего заражений приходится на Россию и Украину - 73 и 13% соответственно. Неудивительно, ведь выяснилось, что вредоносная программа имеет "Российские корни". Также троянская программа содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, используемую российскими банками и их клиентами.

После изучения Win32/Corkow выяснилось, что по своей структуре и возможностям вредоносная программа довольно схожа с печально известным трояном Carberp. При этом вредоносный код Java, использующийся для атаки на iBank2, содержит строки русского и украинского языка, которые используются в этой системе ДБО. Этот факт явно указывает на его направленность на Россию и Украину.

В арсенале Win32/Corkow также содержится:

  • клавиатурный шпион;
  • модуль для снятия скриншотов с рабочего стола;
  • модуль веб-инъекций;
  • модуль кражи данных веб-форм.


Троянская программа поддерживает удаленный доступ к зараженному компьютеру и установку другой вредоносной программы для кражи паролей – Pony (Win32/PSW.Fareit).

Следующей особенностью Corkow стала его ориентация на веб-сайты и соответствующее ПО, относящееся к виртуальной валюте Bitcoin, а также компьютеры разработчиков приложений для Android. Далее злоумышленники могут получить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями.