Cerca
Cerca
Edicola digitale
+

Corkow, il trojan che ruba i dati dei conti bancari

Hacker

E' una minaccia anche per gli utenti italiani

  • a
  • a
  • a

Win32/Corkow è stato capace in poco tempo di attaccare migliaia di account bancari e di mettere a repentaglio anche i sistemi di monete virtuali, fra cui Bitcoin. Si tratta di un cavallo di Troia sviluppato in Russia, rilevato e studiato dai ricercatori ESET NOD32 attraverso ESET Live Grid, il sistema di raccolta informazioni sui malware basato sulla tecnologia Cloud di ESET. Questo malware, che ha colpito soprattutto utenti russi (73%) ed ucraini (13%), ha registrato una crescente attività anche in Italia, dove per ora si attesta al 5% delle infezioni (3° Paese al mondo). La sua natura di mutante – con la capacità di sviluppare in continuazione nuovi moduli – lo rende in prospettiva ancora più pericoloso, soprattutto per operatori finanziari e grandi imprese. Come nel caso di altri malware che attaccano i sistemi bancari, tra cui Zeus, Carberp, Hesperbot, o Qadars, Win32/Corkow è costituito da un modulo principale e da diversi moduli plug-in che eseguono funzioni specifiche. In particolare Win32/Corkow è in grado di intercettare le battiture della tastiera per rubare la password e catturare gli screenshot con le credenziali di accesso per l'online banking, nonché la lista delle smartcard e i saldi dei conti correnti. Allo stesso tempo Win32/Corkow, attraverso il modulo DC, scansiona l'attività degli utenti e individua i processi di esecuzione delle applicazioni, la cronologia dei principali browser (Explorer, Firefox, Chrome e Safari), le applicazioni installate, raggruppando i file in directory comuni e riconoscendo le ultime applicazioni usate attraverso l'accesso ai registri. Win32/Corkow rappresenta una seria minaccia per gli utenti perché, oltre al furto dei dati, è in grado di causare danni irreparabili al sistema. Una volta in azione, questo malware tenta infatti di cancellare i file critici di sistema, sovrascrivendo dati casuali e impedendo così il riavvio del computer. Win32/Corkow è infine in grado di rubare le credenziali di accesso alle piattaforme Bitcoin, confermando che le monete virtuali sono uno degli obiettivi del momento per i cyber-criminali, come testimoniato fra l'altro dalla recente chiusura di MtGox, la principale borsa mondiale per lo scambio della moneta virtuale.

Dai blog