Liten bankman

Tiny Banker , Tinba  är en trojan som har varit känd sedan 2012. Denna skadliga programvara riktar sig till amerikanska finansinstituts webbplatser och är utformad för att stjäla känslig användardata som kontoinloggningsinformation och bankkoder. Det är en modifierad Trojan ZeuS [1] [2] .

När det släpptes var det en ny form av banktrojanen, mycket mindre och kraftfullare än tidigare kända. Tinba verkar genom att organisera man -in-the-webbläsaren och attacker från nätverkskapningar .  Sedan dess upptäckt har denna trojan visat sig ha infekterat mer än två dussin stora bankinstitutioner i USA , inklusive TD Bank, Chase , HSBC , Wells Fargo , PNC och Bank of America [3] [2] .

Historik

Tiny Banker upptäcktes först i mitten av 2012 när den infekterade tusentals datorer i Turkiet [4] . Efter upptäckten kom källkoden för denna skadliga programvara in på webben och utsattes för ändringar, vilket komplicerade processen för upptäckten av den [1] .

Tiny Banker är en kraftigt modifierad version av Zeus Trojan , som hade en mycket liknande attackmetod. Tinbas mycket mindre storlek gör det dock svårt att upptäcka. Med bara 20 KB är Tinba mycket mindre än någon annan känd datortrojan [1] .

Trojanens arbete

Tinba använder paketsniffning (alias nätverkstrafiksniffning) för att avgöra när en användare navigerar till en banks webbplats. Skadlig programvara kan sedan starta en av två olika åtgärder, beroende på dess variant. I sin mest populära form kommer Tinba att fånga upp de angivna lösenorden i en man-i-mitten- attack . Trojanen använder formfångning för att fånga tangenttryckningar innan de krypteras över HTTPS. Tinba skickar sedan tangenttryckningar till botnätets kontrollserver . Som ett resultat blir användarinformation stulen.

Den andra metoden som används av Tinba är att låta användaren logga in på webbsidan. När användaren loggar in kommer skadlig programvara att använda sidinformationen för att extrahera företagets logotyp och formatera webbplatsen. Det kommer sedan att skapa en popup-sida som informerar användaren om systemuppdateringar och ber om ytterligare information som personnummer [4] . De flesta bankinstitut informerar sina användare att de aldrig kommer att be om denna information som ett sätt att skydda sig mot sådana attacker. Tinba har modifierats för att ta hänsyn till detta skydd och börja fråga användarna om den typ av information som ställs som säkerhetsfrågor, såsom användarens mammas flicknamn, så att angripare senare kan använda denna information för att återställa sitt lösenord [5] .

Tinba gör också intrång i andra systemprocesser i ett försök att förvandla värddatorn till en zombie (botnätmedlem). För att hålla botnätet uppkopplat kodas Tinba med fyra domäner, så om en av dem går ner eller tappar anslutningen kan trojanen omedelbart hitta nya med hjälp av de återstående [6] .

Anteckningar

1. ↑ 1 2 3 Modifierad Tiny Banker Trojan Found Inriktning på stora amerikanska banker – Entrust, Inc.  (engelska) . Entrust Inc. . Datum för åtkomst: 28 februari 2016. Arkiverad från originalet 4 mars 2016.
2. ↑ 1 2 Tiny Banker Trojan attackerar amerikanska finansinstitutioner  : [ arch. 12 augusti 2020 ] // SecurityLab. - 2014. - 16 september.
3. ↑ "Tiny Banker" Skadlig programvara försökt på kunder hos amerikanska banker  : [ eng. ]  : [blogg] / Media Division // Massiv. - 2014. - 19 september.
4. ↑ 1 2 Kirk, J. "Tiny banker" skadlig kod riktar sig mot amerikanska finansinstitutioner  : [ eng. ]  : [ arch. 16 september 2021 ] // PCWorld. - 2014. - 15 september.
5. ↑ Santillan, M. 'Tiny Banker' Malware riktar sig till dussintals större amerikanska finansinstitutioner: [ eng. ]  : [ arch. 20 december 2014 ] // Säkerhetsläget. - 2014. - 16 september.
6. ↑ Liebowitz, M. Tiny 'Tinba' Banking Trojan Is Big Trouble  : [ eng. ]  : [ arch. 30 oktober 2020 ] // NBC News Digital. - 2012. - 31 maj.