Corkow

Corkow (от англ. corkow — затаивать, прятать, второе название Metel) — анонимная киберпреступная группа (хакерская группировка), активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. В отличие от Carberp, который получил мировую известность, Corkow (Metel) не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время. Ситуация изменилась в 2014 году, когда совокупный баланс скомпрометированных трояном Corkow (Metel) счетов клиентов превысил $ 250 млн.^[1].

Деятельность

2011 год

Первое упоминание трояна Corkow (Metel).

2012 год

Системы телеметрии фиксировала резкие спады и подъёмы в активности этой вредоносной программы с начала её первого обнаружения. Так во второй половине 2012 г. наблюдался спад её активности, после чего активность снова возросла. Возможно группа, распространявшая Corkow (Metel), была привлечена к уголовной ответственности и не могла осуществлять свою деятельность в этот период^[2].

2013 год

Впервые панель управления, используемая Corkow (Metel), была обнаружена и проанализирована^[3].

2014 год

Начиная с апреля 2014 года, бот-сеть на основе Corkow (Metel) стремительно растет. Работа этой бот-сети направлена на кражу денег из системы онлайн-банкинга и платежных систем. По состоянию на ноябрь 2014 года преступники заразили более 250 тысяч компьютеров, использующих Windows. 70 % зараженных компьютеров находятся в России, 15 % — на Украине. В целом, эта бот-сеть объединяет компьютеры из 86 стран. В течение 2 месяцев 2014 киберпреступники получили доступ к внутренним сетям 34 российских банков. По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн^[4].

2015 год

В феврале 2016 года было сообщено^[5], что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow (Metel), получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов^[1]^[6]. Как говорится в отчете, используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара^[7]. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 — 62 рубля за доллар. По данным Лаборатории Касперского, злоумышленники также смогли совершить многомиллионное изъятие из банкоматов банка-жертвы всего за одну ночь, используя функцию отмены банковских транзакций. Благодаря ей, после каждого снятия баланс карточного счета не уменьшался^[8].

Функциональность трояна

Функциональность модулей Corkow (Metel)^[9]:

Пропускает антивирусные решения, остается незамеченным при исполнении;

Похищает ключи и пароли системы онлайн-банкинга на основе iBank2, IFOBS и SBRF;

Похищает все онлайн-формы (в том числе формы авторизации) с помощью FG и модулей Pony;

Мониторит весь текст, набранный при помощи клавиатуры;

Шпионит за пользователяем; делает скриншоты и записывает видео;

Устанавливает скрытый удаленный доступ к зараженному компьютеру;

Может заменять отображаемое на веб-страницах.

Это позволяет киберпреступникам организовать целевые атаки и шпионить за деятельностью предприятий из их собственных внутренних сетей. Их главная цель состоит в том, чтобы украсть деньги клиентов финансовых учреждений, в первую очередь средства юридических лиц^[10].

Ссылки

Ведомости: Скачки курса рубля в феврале действительно были делом рук хакеров. Виноват «вредонос» Corkow. Архивная копия от 14 февраля 2016 на Wayback Machine

Энергобанк мог потерять свои деньги из-за кибератаки Архивная копия от 23 апреля 2016 на Wayback Machine Кражи на экспорт Архивная копия от 4 февраля 2016 на Wayback Machine

Примечания

↑ ¹ ² Jake Rudnitsky Rudnit Ilya Khrennikov. Russian Hackers Moved Currency Rate With Malware, Group-IB Says (неопр.). Bloomberg.com. Дата обращения: 8 февраля 2016. Архивировано 19 февраля 2020 года.
↑ Банковский троян Win32/Corkow атакует российских пользователей (неопр.). habrahabr.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.
↑ Graham Cluley posted 11 Feb 2014- 09:20AM. Corkow - the Bitcoin-curious Russian banking trojan (неопр.). We Live Security. Дата обращения: 8 февраля 2016. Архивировано 12 февраля 2016 года.
↑ Кражи на экспорт (неопр.). Банки.ру. Дата обращения: 8 февраля 2016. Архивировано 4 февраля 2016 года.
↑ Group-IB рассказала об уникальном случае атаки на валютного брокера с помощью трояна Corkow (Metel) (неопр.). www.group-ib.ru. Дата обращения: 8 февраля 2016. Архивировано 15 февраля 2016 года.
↑ Скачки курса рубля в феврале действительно были делом рук хакеров (неопр.). www.vedomosti.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.
↑ Quote.ru. Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка (неопр.). voozl.com. Дата обращения: 8 февраля 2016. Архивировано из оригинала 14 февраля 2016 года.
↑ Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0 - Securelist (неопр.). securelist.ru. Дата обращения: 19 мая 2020. Архивировано 27 октября 2020 года.
↑ Анализ банковского трояна Win32/Corkow (неопр.). habrahabr.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.
↑ Helpful Tips on Removing Corkow Trojan Virus | DooHelp.com (неопр.). blog.doohelp.com. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.

[autogenerated1-1] ¹ ² Jake Rudnitsky Rudnit Ilya Khrennikov. Russian Hackers Moved Currency Rate With Malware, Group-IB Says (неопр.). Bloomberg.com. Дата обращения: 8 февраля 2016. Архивировано 19 февраля 2020 года.

[2] Банковский троян Win32/Corkow атакует российских пользователей (неопр.). habrahabr.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.

[3] Graham Cluley posted 11 Feb 2014- 09:20AM. Corkow - the Bitcoin-curious Russian banking trojan (неопр.). We Live Security. Дата обращения: 8 февраля 2016. Архивировано 12 февраля 2016 года.

[4] Кражи на экспорт (неопр.). Банки.ру. Дата обращения: 8 февраля 2016. Архивировано 4 февраля 2016 года.

[autogenerated2-5] Group-IB рассказала об уникальном случае атаки на валютного брокера с помощью трояна Corkow (Metel) (неопр.). www.group-ib.ru. Дата обращения: 8 февраля 2016. Архивировано 15 февраля 2016 года.

[6] Скачки курса рубля в феврале действительно были делом рук хакеров (неопр.). www.vedomosti.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.

[7] Quote.ru. Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка (неопр.). voozl.com. Дата обращения: 8 февраля 2016. Архивировано из оригинала 14 февраля 2016 года.

[8] Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0 - Securelist (неопр.). securelist.ru. Дата обращения: 19 мая 2020. Архивировано 27 октября 2020 года.

[9] Анализ банковского трояна Win32/Corkow (неопр.). habrahabr.ru. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.

[10] Helpful Tips on Removing Corkow Trojan Virus | DooHelp.com (неопр.). blog.doohelp.com. Дата обращения: 8 февраля 2016. Архивировано 14 февраля 2016 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]