Corkow: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
[непроверенная версия][непроверенная версия]
Содержимое удалено Содержимое добавлено
м Функционал трояна: добавил ссылку
добавил сумму ущерба
Строка 1: Строка 1:
'''Corkow''' - киберпреступная группа, активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга.
'''Corkow''' - киберпреступная группа, активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн.


== Деятельность ==
== Деятельность ==

Версия от 10:08, 8 февраля 2016

Corkow - киберпреступная группа, активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн.

Деятельность

2011 год

Первое упоминание трояна Corkow.

2013 год

Впервые панель управления, используемая Corkow, была обнаружена и проанализирована[1].

2014 год

Начиная с апреля 2014 года, бот-сеть на основе Corkow стремительно растет. Работа этой бот-сети направлена на кражу денег из системы онлайн-банкинга и платежных систем. По состоянию на ноябрь 2014 года преступники заразили более 250 тысяч компьютеров, использующих Windows. 70% зараженных компьютеров находятся в России, 15% - в Украине. В целом, эта бот-сеть объединяет компьютеры из 86 стран. В течение 2 месяцев 2014 киберпреступники получили доступ к внутренним сетям 34 российских банков. По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн[2].

2015 год

В феврале 2016 года Group-IB сообщила, что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow, получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов[3]. Как говорится в отчете Group-IB, используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара[4]. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 - 62 рубля за доллар. Эксперты Group-IB также сообщили, что в августе 2015 года произошел другой важный инцидент с использованием расчетной системы, объединяющей около 250 банков и позволяющей снимать средства с карт Visa и MasterCard по выгодным тарифам. Тогда через банкоматы одного из участников этой расчетной системы было выдано несколько сотен миллионов рублей, которые, как выяснилось позже, были результатом хакерской атаки с использованием все того же трояна Corkow[5].

Функционал трояна

Функциональность модулей Corkow[6]:

Пропускает антивирусные решения, остается незамеченным при исполнении;

Похищает ключи и пароли системы онлайн-банкинга на основе iBank2, IFOBS и SBRF;

Похищает все онлайн-формы (в том числе формы авторизации) с помощью FG и модулей Pony;

Мониторит весь текст, набранный при помощи клавиатуры;

Шпионит за пользователяем; делает скриншоты и записывает видео;

Устанавливает скрытый удаленный доступ к зараженному компьютеру;

Может заменять отображаемое на веб-страницах.

Это позволяет киберпреступникам организовать целевые атаки и шпионить за деятельностью предприятий из их собственных внутренних сетей. Их главная цель состоит в том, чтобы украсть деньги клиентов финансовых учреждений, в первую очередь средства юридических лиц[7].

Ссылки

Ведомости: Скачки курса рубля в феврале действительно были делом рук хакеров. Виноват «вредонос» Corkow.

Энергобанк мог потерять свои деньги из-за кибератаки Кражи на экспорт

Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка

Примечания

  1. Graham Cluley posted 11 Feb 2014- 09:20AM. Corkow - the Bitcoin-curious Russian banking trojan. We Live Security. Дата обращения: 8 февраля 2016.
  2. Кражи на экспорт. Банки.ру. Дата обращения: 8 февраля 2016.
  3. Скачки курса рубля в феврале действительно были делом рук хакеров. www.vedomosti.ru. Дата обращения: 8 февраля 2016.
  4. Quote.ru. Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка. voozl.com. Дата обращения: 8 февраля 2016.
  5. Corkow Trojan Removal Report. www.enigmasoftware.com. Дата обращения: 8 февраля 2016.
  6. Анализ банковского трояна Win32/Corkow. habrahabr.ru. Дата обращения: 8 февраля 2016.
  7. Helpful Tips on Removing Corkow Trojan Virus | DooHelp.com. blog.doohelp.com. Дата обращения: 8 февраля 2016.