Attenti a Corcow, ruba i dati bancari

Un pericoloso trojan di origine russa minaccia i conti correnti on line e anche il normale funzionamento dei pc

La Russia in questi giorni sta destando molta preoccupazione. E non solo nel mondo reale per la grave situazione in Ucraina, ma anche in quello virtuale dove si sta scatenando una vera e propria caccia al virus informatico chiamato Win32/Corkow. Creato nel paese delle matrioska, si tratta di un trojan che, in poco tempo, è stato in grado di attaccare migliaia di account bancari, mettendo a repentaglio anche i sistemi di monete virtuali, fra cui Bitcoin. Dopo aver colpiti i conti correnti on line degli utenti russi ed ucraini, ora si sto diffondendo anche in Italia, dove attualmente si registrano il 5% delle infezioni totali (terzo Paese al mondo, vedi infografica sotto).

Gli esperti di ESET NOD32 ritengono Win32/Corkow altamente pericoloso. Il cavallo di Troia agisce intercettando le battiture della tastiera per rubare la password e catturare gli screenshot con le credenziali di accesso per l’online banking, nonché la lista delle smartcard e i saldi dei conti correnti. Inoltre scansiona l’attività degli utenti e individua i processi di esecuzione delle applicazioni, la cronologia dei principali browser (Explorer, Firefox, Chrome e Safari), le applicazioni installate, raggruppando i file in directory comuni e riconoscendo le ultime applicazioni usate attraverso l’accesso ai registri. Non contento, sottrae anche le credenziali di accesso alle piattaforme Bitcoin. Ma non è tutto: oltre al furto dei dati, il malware è in grado di causare danni irreparabili al sistema. Una volta in azione, infatti, cancella i file critici di sistema, sovrascrivendo dati casuali e impedendo così il riavvio del computer. La sua natura di mutante, ossia la sua la capacità di sviluppare in continuazione nuovi moduli, lo rende in prospettiva ancora più minaccioso, soprattutto per operatori finanziari e grandi imprese. Tra le sue caratteristiche c’è anche il fatto di essere un cosiddetto virus dormiente: si tratta di un tipo di virus che resta inattivo per mesi e, di colpo, senza una ragione che gli esperti siano ancora riusciti a spiegare, entra in azione mietendo vittime tra i sistemi informatici. Corkow, per esempio, è rimasto fermo per circa 8 mesi. Le modalità con cui Corkow si istalla sul computer sono abbastanza comuni; può annidarsi in un allegato mail, nella posta spazzatura, attraverso il download di contenuti gratuiti di varia natura, tramite chiavette usb già infette o col file sharing peer to peer. Per proteggerci e ridurre al minimo le possibilità di infezione, restano validi le buone pratiche di sempre: munirsi di antivirus, aggiornarlo frequentemente e installare le patch tempestivamente.

(4 marzo 2014)