fbpx

Malware Analysis Report: Tinbapore


A aparut o noua varianta de malware Tinba care vizeaza entitatile financiare, avertizeaza cercetatorii din F5 Networks.

Potrivit raportului F5 (https://devcentral.f5.com/articles/tinbapore-millions-of-dollars-at-risk) , noua varianta de malware, denumita Tinbapore, a fost detectata initial în noiembrie 2015 si a pus deja în pericol milioane de dolari.

tinbapore

Investigatia expertilor in securitate F5 a aratat ca Tinbapore este de fapt o varianta a fostului Malware Tinba care viza institutiile financiare din Europa, Orientul Mijlociu si Africa (EMEA) si cele doua Americi. Tinba, cunoscuta si sub denumirile TinybankerZusy si HμNT€R$, este un troian bancar care a aparut in mai 2012, utilizat în principal pentru a viza utilizatorii din regiunea Europa, Orientul Mijlociu, Africa (EMEA) si cele doua Americi. Malware-ul a fost remarcat în principal pentru dimensiunea sa foarte mica, de aproximativ 20 KB, inclusiv toate Webinject-urile si configuratia.

Versiunile mai noi si imbunatatite ale malware-ului folosesc un algoritm de generare a domeniilor (DGA), care face ca malware-ul sa fie mult mai persistent si ofera posibilitatea de recuperare chiar dupa ce un server de comanda si control (C&C) este oprit. Aceasta noua varianta a Tinba, Tinbapore, creeaza acum propria sesiune de explorer.exe care ruleaza pe fundal.

De asemenea, cercetatorii de securitate noteaza si ca malware-ul este un rootkit, ceea ce inseamna ca se ataseaza la functiile sistemului pentru a obtine privilegii mai ridicate de administrare a sistemului decât utilizatorul.

Tinbapore include un sistem de gestionare cu injectarea motoarelor Automatic Transfer Systems (ATS) prin care injecteaza continut în browser-ul victimei si trimite informatiile colectate înapoi la serverul ATS. Script-ul injectat, care este de obicei un mesaj care informeaza utilizatorii ca resursa pe care încercau sa o acceseze nu era disponibila, este apoi sters pentru a acoperi urmele malware-ului.

Codul sursa pentru Tinba a aparut online în iulie 2014, iar de atunci au fost observate variante noi si îmbunatatite ale malware-ului. In iunie anul trecut, malware-ul bancar a fost remarcat vizand clienti ai unor institutii financiare europene, iar Abuse.ch, un site de securitate din Elvetia care monitorizeaza campaniile malware, a aratat în noiembrie ca Troianul viza în principal utilizatori din Rusia si Polonia.

Download Raport

F5 Networks
F5 Networks

Application delivery and security services The F5 portfolio of enterprise-grade application services ensures that apps are fast, available, and secure—across any on-premises or multi-cloud environment. F5 ofera puncte strategice de control in infrastructura IT, permitand organizatiilor ... Citeşte mai mult »

Vedeti de asemenea

Cautati informatii