Его атаки направлены на пользователей из России и Украины, на них приходится 86% заражений.
Win32/Corkow предназначен для хищения аутентификационных данных в системах онлайн-банкинга. Троян содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами. Первые его модификации появились в 2011 году, но, в отличие от трояна Carberp, Corkow до сих пор не стал настолько известным.
Подобно другим банковским троянам, Win32/Corkow имеет модульную архитектуру. Это означает, что злоумышленники могут по мере необходимости расширять спектр его возможностей для хищения конфиденциальных данных.
В арсенале Win32/Corkow есть клавиатурный шпион, модуль для снятия скриншотов с рабочего стола, веб-инъекций и кражи данных веб-форм. Кроме того, троян поддерживает удаленный доступ к зараженному компьютеру и установку программы для кражи паролей Pony.
Еще одна характерная особенность Corkow – ориентация на веб-сайты и соответствующее программное обеспечение, которое относится к виртуальной валюте Bitcoin, а также компьютеры разработчиков приложений для Android. Далее злоумышленники могут получить несанкционированный доступ к аккаунтам счетов Bitcoin скомпрометированных пользователей со всеми вытекающими последствиями, предупреждают в Eset.