Tinba (Tiny Banker Trojan)

Tiny Banker Trojan, также называемый Tinba, - это вредоносная программа, нацеленная на веб-сайты финансовых учреждений. Она представляет собой модифицированную форму более старой разновидности вирусов, известных как троянцы Banker Trojans, но имеет гораздо меньший размер и большую мощность. Она работает путем организации атак типа "человек в браузере" и сетевого сниффинга. С момента своего обнаружения он заразил более двух десятков крупных банковских учреждений в США, включая TD Bank, Chase, HSBC, Wells Fargo, PNC и Bank of America. Он предназначен для кражи конфиденциальных данных пользователей, таких как информация для входа в систему и банковские коды.

История

Впервые Tiny Banker был обнаружен в 2012 году, когда было установлено, что он заразил тысячи компьютеров в Турции. После обнаружения исходный код вредоносной программы просочился в Интернет и начал подвергаться отдельным изменениям, что усложнило процесс ее обнаружения для учреждений. Это сильно модифицированная версия троянца Zeus, который имел очень похожий метод атаки для получения той же информации. Однако Tinba оказалась гораздо меньше по размеру. Меньший размер делает вредоносную программу более сложной для обнаружения. Tinba имеет размер всего 20 КБ, что значительно меньше, чем любой другой известный троянец. Для сравнения, средний размер файла веб-сайта для настольных компьютеров составляет около 1 966 КБ.

Общее описание Tinba

Tinba работает с использованием пакетного сниффинга - метода чтения сетевого трафика, чтобы определить, когда пользователь переходит на банковский веб-сайт. Затем вредоносная программа может выполнить одно из двух различных действий, в зависимости от вариации. В своей наиболее популярной форме Tinba захватывает форму веб-страницы, вызывая атаку "человек посередине". Троянец использует захват формы для перехвата нажатий клавиш до того, как они будут зашифрованы HTTPS. Затем Tinba отправляет нажатия клавиш в командно-контрольный центр. Этот процесс, в свою очередь, приводит к краже информации пользователя.

Второй метод, используемый Tinba, заключается в том, чтобы позволить пользователю войти на веб-страницу. После того как пользователь вошел, вредоносная программа использует информацию о странице для извлечения логотипа компании и форматирования сайта. Затем она создает всплывающую страницу, информирующую пользователя об обновлениях в системе и запрашивающую дополнительную информацию, например, номер социального страхования. Большинство банковских учреждений информируют своих пользователей о том, что они никогда не будут запрашивать эту информацию в качестве средства защиты от подобных атак. Tinba была модифицирована для защиты от этих атак, и стала запрашивать у пользователей информацию, которая задается в качестве вопросов безопасности, например, девичью фамилию матери пользователя, в попытке злоумышленника использовать эту информацию для сброса пароля в более позднее время.

Tinba также внедряется в другие системные процессы, пытаясь превратить хост-машину в зомби, безвольного члена ботнета. Для поддержания связи в ботнете Tinba имеет четыре домена, поэтому если один из них выходит из строя или теряет связь, троянец может сразу же искать один из остальных.

Поделиться с друзьями
SEC-1275-1