یک ورژن جدید و بهبود یافته Tinba، بدافزار بانکی شناخته شده به خاطر اندازه کوچکش، در حملاتی کشف شده است که مشتریان موسسات مالی اروپا را مورد هدف قرار داده است.
Tinba و همچنین شناخته شده به عنوان Tinybanker و Zusy، برای اولین بار توسط محققان در اواسط ۲۰۱۲کشف شد.مشابه با دیگر تروجانهای بانکی، Tinba از تکنیک man-in-the-browser (MitB) و تذریق وب برای جمع آوری اطلاعات با ارزش از قربانیان استفاده میکند.
در ماه می، محققان در امنیت IBM، متوجه حمله ای شدند که شامل نوع جدیدی از بدافزار است و کارشناسان، خرابکاریهایی توسط این بدافزار جدید را در ایتالیا، آلمان، هلند و لهستان کشف کردند.
Tinba، یکبار یک کامپیوتری را آلوده میکند، بدافزار منتظر میماند تا قربانیان یکی از وب سایتهای بانکی مورد هدف را بازدید نمایند، زمانی که چنین وب سایتی بازدید شد، web inject انجام میشود و قربانیان با یک پیام ساختگی طراحی شده به منظور فریب آنها برای تحویل اطلاعات شخصی و مالی شان مواجه میشوند، که مهاجمان سایبری میتوانند از این اطلاعات برای انجام معاملات جعلی استفاده نمایند.
یکی از پیامهایی که توسط محققان IBM کشف شد این بود که کاربران مطلع شدند که حسابشان به علت انتقال تصادفی برخی پولها، قفل شده است و به قربانیان دستور داده شد به منظور بازکردن حساب آنها، باید این پولها پس داده شوند.
به گفته محققان، ورژن جدید Tinba، برخی مکانیسمهای عقب نشینی جالب طراحی شده برای حفاظت بات نت در برابر ربودن و takedowns را دارد.
تغییرات رفتاری جدید Tinba شامل موارد زیر میباشد:
لیست ویژگیها شامل، امضاء کردن کلید عمومی برای تضمین اینکه فقط botmasterها میتوانند، دستوراتی را ارسال نمایند و تروجان را به روز کنند.
به روزکردن سرور احراز هویت وقتی که دادهای پیکربندی جدیدی را دریافت مینماید.
یک لایه رمزنگاری وابسته به ماشین برای هر بات برای جلوگیری از spoofing توسط محققان.
کارشناسان همچنین تذکر دادند که باتهایی برای ارتباط برقرار کردن با hardcoded آدرسهای منبع طراحی شده اند، اما اگر لازم باشد آنها میتوانند با استفاده از الگوریتم تولید دامنه (DGA) به آدرسهای عقبی برگردند.
یکی از اولین کشورهایی که مورد هدف Tinba قرار گرفت، ترکیه بود، که بیش از ۶۰هزار عفونت منحصر به فرد در طی یک حمله در ۲۰۱۲ شناخته شد.
در طول سال گذشته، این بدافزار(Tinba) که کد منبع آن به بیرون درز کرده است، به طور قابل ملاحضه ای، لیست اهدافش گسترش یافته است.در سپتامبر ۲۰۱۴، محققان در Avast از تروجانی جهانی گزارش دادند که سازمانهای مالی مانند بانک US، بانک مرکزی آمریکا، HSBC، بانک TD، Chase، Wells Fargo، Fifth Third Bank، Banco de Sabadell، ING، RBC Royal Bank، Citibank، Westpac و دیگران را مورد هدف قرار داده است.
منبع خبر:
http://www.securityweek.com/new-variant-tinba-banking-trojan-targets-european-users