Corcow

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Corkow (від англ. Corkow — таїти, ховати, друга назва Metel) — анонімна кіберзлочинна група (хакерське угруповання), активна з 2011 року. Прославилася створенням однойменного банківського трояна Win32/Corkow, який використовується зловмисниками для крадіжки даних онлайн-банкінгу. На відміну від Carberp, який здобув світову популярність, Corkow (Metel) не заслужив такої ж уваги з боку дослідників або громадськості і був досить непомітний увесь цей час. Ситуація змінилася в 2014 році, коли сукупний баланс скомпрометованих трояном Corkow (Metel) рахунків клієнтів перевищив $250 млн. За станом на початок 2015 року, за даними Group-IB[1] обсяг збитку значно виріс[2][3].

Діяльність[ред. | ред. код]

2011 рік[ред. | ред. код]

Перша згадка трояна Corkow (Metel).

2012 рік[ред. | ред. код]

Системи телеметрії фіксувала різкі спади і підйоми в активності цієї шкідливої програми з початку її першого виявлення. Так у другій половині 2012 р. спостерігався спад її активності, після чого активність знову зросла. Можливо група, що поширювала Corkow (Metel), була притягнута до кримінальної відповідальності і не могла здійснювати свою діяльність в цей період[4].

2013 рік[ред. | ред. код]

Вперше панель управління, якою користувався Corkow (Metel), було виявлено і проаналізовано[5].

2014 рік[ред. | ред. код]

Починаючи з квітня 2014 року, бот-мережа на основі Corkow (Metel) стрімко зростає. Робота цієї бот-мережі спрямована на крадіжку грошей з системи онлайн-банкінгу і платіжних систем. Станом на листопад 2014 року злочинці заразили понад 250 тисяч комп'ютерів, що використовують Windows. 70 % заражених комп'ютерів знаходяться в Росії, 15 % — в Україні. В цілому, ця бот-мережа об'єднує комп'ютери з 86 країн. Протягом 2 місяців 2014 р. кіберзлочинці отримали доступ до внутрішніх мереж 34 російських банків. Станом на листопад 2014 р. сукупний баланс скомпрометованих рахунків клієнтів перевищував $250 млн[6].

2015 рік[ред. | ред. код]

У лютому 2016 року Group-IB повідомила[2], що в лютому 2015 року стався перший в світовій практиці великий інцидент, коли кіберзлочинці, використовуючи троян Corkow (Metel), отримали контроль над терміналом торгової системи для торгів на різних біржових ринках, що призвело до виставлення заявок на суму понад 400 млн доларів[3][7]. Як говориться у звіті Group-IB, використовуючи шкідливе програмне забезпечення, хакер застосував інструмент «долар/рубль розрахунками сьогодні» для продажу і покупки валюти від імені банку, що викликало серйозні скачки курсу долара[8]. За 14 хвилин хакер домігся аномальної волатильності, що дозволило купувати долар за 55 рублів, а продавати по 62 рублі. До інциденту трейдери торгувалися в ринковому діапазоні 60-62 рублі за долар. За даними Лабораторії Касперського, зловмисники також змогли зробити багатомільйонне вилучення з банкоматів банку-жертви всього за одну ніч, використовуючи функцію скасування банківських транзакцій. Завдяки їй, після кожного зняття баланс карткового рахунку не зменшувався[9] .

Функціональність трояна[ред. | ред. код]

Функціональність модулів Corkow (Metel)[10]:

  1. Пропускає антивірусні рішення, залишається непоміченим при виконанні;
  2. Викрадає ключі і паролі системи онлайн-банкінгу на основі iBank2, IFOBS і SBRF;
  3. Викрадає всі онлайн-форми (в тому числі форми авторизації) за допомогою FG і модулів Pony;
  4. Моніторить увесь текст, набраний за допомогою клавіатури;
  5. Шпигує за користувачами; робить скріншоти і записує відео;
  6. Встановлює прихований віддалений доступ до зараженого комп'ютера;
  7. Може замінювати відображуване на вебсторінках.

Це дозволяє кіберзлочинцям організувати цільові атаки і шпигувати за діяльністю підприємств з їх власних внутрішніх мереж. Їх головна мета полягає в тому, щоб вкрасти гроші клієнтів фінансових установ, в першу чергу кошти юридичних осіб[11].

Джерела[ред. | ред. код]

Ресурси Інтернету[ред. | ред. код]

Примітки[ред. | ред. код]

  1. Звіт Group-IB (PDF). Архів оригіналу (PDF) за 16 лютого 2016. Процитовано 25 вересня 2018.
  2. а б Group-IB розповіла про унікальний випадок атаки на валютного брокера за допомогою трояна Corkow (Metel). www.group-ib.ru. Архів group-ib.ru/media/corkow-metel/ оригіналу за 20 жовтня 2007. Процитовано 8 лютого 2016.
  3. а б Jake Rudnitsky Rudnit Ilya Khrennikov. Russian Hackers Moved Currency Ra te With Malware, Group-IB Says. Bloomberg.com. Архів оригіналу за 19 лютого 2020. Процитовано 8 лютого 2016.
  4. Банківський троян Win32/Corkow атакує російських користувачів. habrahabr.ru. Архів оригіналу за 14 лютого 2016. Процитовано 8 лютого 2016.
  5. Graham Cluley posted 11 Feb 2014- 9:20 AM. Corkow - the Bitcoin- curious Russian banking trojan. We Live Security. Архів оригіналу за 12 лютого 2016. Процитовано 8 лютого 2016.
  6. Крадіжки на експорт. Банки.ру. Архів daytheme /? id = 8371886 оригіналу за 25 вересня 2018. Процитовано 8 лютого 2016.
  7. Скачки курсу рубля в лютому дійсно були справою рук хакерів. www.vedomosti.ru. Архів оригіналу за 14 лютого 2016. Процитовано 8 лютого 2016.
  8. Quote.ru. Group-IB підтвердила участь хакерів в "валютній" справі Енергобанку. voozl.com. Архів оригіналу за 14 лютого 2016. Процитовано 8 лютого 2016.
  9. APT-style bank robberies increase with Metel, GCMAN and Carbanak 2.0 attacks - Securelist. securelist.com. Архів / оригіналу за 26 травня 2017. Процитовано 16 січня 2017.
  10. Аналіз банківського трояна Win32/Corkow. habrahabr.ru. Архів оригіналу за 14 лютого 2016. Процитовано 8 лютого 2016.
  11. Helpful Tips on Removing Corkow Trojan Virus | DooHelp.com. blog.doohelp.com. Архів оригіналу за 14 лютого 2016. Процитовано 8 лютого 2016.
На цю статтю не посилаються інші статті Вікіпедії.
Будь ласка розставте посилання відповідно до прийнятих рекомендацій.
Отримано з https://uk.wikipedia.org/w/index.php?title=Corcow&oldid=35402897