Вирус ограбления

Антивирусная компания ESET сообщила о резком росте активности банковской троянской программы Win32/Corkow, атакующей системы ДБО iBank2. Портал Банки.ру разбирался, насколько опасен этот троянец и как защититься от угрозы.

Заметим сразу, что новоявленный герой новостных выпусков — троянец-банкер Win32/Corkow — сам по себе не нов. Впервые, по данным ESET, он был замечен осенью 2011 года. Эпидемия продолжалась до апреля 2012 года, после чего вредоносная программа резко ушла на дно, практически перестав попадаться антивирусным программам. Повторно Corkow всплыл в конце 2013 года, проявляя относительно небольшую активность, а вот в феврале этого года ESET зафиксировала несколько тысяч новых заражений.

Не следует считать, что солидный возраст вредоносной программы свидетельствует о ее устарелости и заброшенности. Отнюдь нет — прошли времена, когда обиженный на весь мир программист-одиночка писал вирус, выпускал его на волю и переходил к следующему проекту. Современный троянец представляет собой серьезный коммерческий продукт, создаваемый, развиваемый и поддерживаемый целым коллективом разработчиков. На создание конкурентоспособного вируса тратятся изрядные деньги: помимо прямых затрат на зарплаты программистов, требуются так называемые эксплойты — методы компрометации систем через какую-либо уязвимость в программном обеспечении — которые продаются за весьма солидные деньги.

По функциональности Win32/Corkow ничуть не хуже других вирусов, а то и получше: благодаря модульной архитектуре, заказчик может обеспечить ему любую требующуюся функциональность. По сведениям ESET, основной задачей Corkow является атака на клиентское ПО очень распространенной системы ДБО iBank2. Помимо этого, в арсенале троянца имеются клавиатурный шпион, модуль для снятия снимков экрана, инструменты для внедрения в веб-страницу и для извлечения данных с веб-форм.

Такие возможности превращают Corkow в практически универсальный инструмент злоумышленника. Они позволяют ограбить пользователя практически любого браузерного интернет-банка, подменив реквизиты платежа, а также узнать аутентификационные данные для любых ресурсов и приложений.

Отметим, что банковские троянцы, в отличие от многих других вредоносных программ, действуют не автоматически, а в ручном режиме, на удаленном управлении. Приобретя троянца с оптимизацией под свои задачи, хакер покупает услугу его распространения и ждет «клева». Получив оповещения с зараженных машин, злоумышленник исследует установленное программное обеспечение и журнал браузера, пытаясь определить возможный источник прибыли. Если пользователь зараженной машины заходит с нее в интернет-банк (чаще всего физическое лицо или индивидуальный предприниматель) или пользуется клиентской программой ДБО (например, бухгалтер юридического лица), мошенник обращает на этот компьютер пристальное внимание. По замыслу создателей, возможности Corkow позволяют скомпрометировать ДБО-клиент iBank2, хотя на практике это может быть и нелегко — такие программы имеют эшелонированную систему защиты.

Представители БИФИТа, компании-разработчика iBank2, относятся к новой угрозе скептически, отчасти из-за того, что она не такая уж новая. Об этом порталу Банки.ру заявил директор по продажам компании «БИФИТ» Станислав Шилов: «Похоже, на фронте борьбы с вирусами у некоторых антивирусных компаний наступило продолжительное перемирие — иначе трудно интерпретировать публикацию в качестве новости сведений о трояне трехлетней свежести. Вообще, сам факт, что разработчики вредоносных программ делают их с прицелом на конкретные системы ДБО, уже давно не нов. Понятно, что первыми в списке оказываются самые распространенные системы — и в их числе iBank2, используемый в 36,5% российских банков».

Впрочем, БИФИТ не склонен игнорировать опасность Corkow. «Мы успешно противодействуем угрозе со стороны злоумышленников. Текущая версия специализированных компонент для противодействия хищениям успешно обнаруживает все современные вредоносные программы, «заточенные» под iBank2. Таким образом, банк может выявить зараженные компьютеры клиентов и предотвратить хищение. Мы планируем и дальше повышать уровень безопасности ДБО, в том числе и совместно с нашими партнерами — например, с «Лабораторией Касперского», чей продукт Kaspersky Fraud Prevention for Endpoints сейчас встроен в iBank2 и проходит пилотное внедрение в ряде банков», — говорит Шилов.

Ведущий вирусный аналитик компании ESET Артем Баранов расценивает уровень угрозы менее оптимистично: «Мы фиксировали нацеленность вредоносного кода на эту систему ДБО — в частности, вредоносный код содержит специальный код проверки баланса доступных счетов скомпрометированного пользователя на странице статистики через внедрение Java-кода в процесс исполнения iBank2.

В случае компрометации ОС пользователя вредоносным кодом системе ДБО довольно сложно обеспечить свою защиту, поскольку среда, в которой работает процесс системы ДБО, уже не является доверенной. Насколько конкретная система онлайн-банкинга самостоятельно способна защитить себя от подобного рода атак, зависит от заявленных в ней возможностей. В данном случае стоит также полагаться на решения информационной безопасности, в том числе на антивирусное ПО, которые не должны допустить компрометацию системы пользователя».

В случае если жертва — физическое лицо и пользуется браузерным интернет-банком, для грабителя все гораздо проще: злоумышленник встает в позицию «человек в браузере», и ему остается лишь дождаться, когда жертва попытается провести какую-либо операцию через интернет-банк. Реквизиты операции подменяются, и деньги уходят на нужный счет, откуда их заберут наемные «дропы» (злоумышленники низшего ранга) за процент от суммы. Предотвратить это может лишь дополнительное средство защиты, имеющее независимый канал связи с банком. В случае физического лица это может быть специальное приложение на смартфоне. Излюбленные нашими банками СМС-коды тоже могут спасти от такого фрода, надо лишь внимательно читать описание операции в СМС.

Резкое возрастание активности Win32/Corkow говорит о том, что его создатели нашли нового клиента — хакера или хакерскую группу, вложившую в свою операцию деньги и пытающуюся заработать на этом. Причем, скорее всего, это наши соотечественники. Об этом свидетельствуют как география заражения (73% зараженных машин обнаружены в России, 13% — на Украине), так и ориентация на ДБО-систему iBank2, которой пользуются по большей части российские банки.

Не стоит игнорировать рост уровня такого рода угроз — зачастую достаточно «подцепить» единственного троянца, чтобы лишиться значительных сумм денег. Артем Баранов рекомендует соблюдать осторожность и не игнорировать базовые рекомендации по информационной безопасности: «Использовать своевременно обновляемое антивирусное ПО, своевременно устанавливать обновления для операционной системы и прикладного ПО, а также браузеров, которые используют sandbox-технологии для изоляции своих процессов и плагинов. Если исключить человеческий фактор при распространении и компрометации подобного рода вредоносным ПО (фишинг, спам), эти рекомендации существенно снижают риск заражения пользователя».

Михаил ДЬЯКОВ, Banki.ru