Online ο πηγαίος κώδικας του μικρότερου τραπεζικού Trojan Tinba

Ο πηγαίος κώδικας της πρώτης έκδοσης του Tinba, του μικρότερου τραπεζικού που αναπτύχθηκε ποτέ, κυκλοφορεί .

Tinba

Το κακόβουλο λογισμικό είναι γνωστό και σαν Tinybanker ή zusy, και είναι μόνο 20KB. Ανακαλύφθηκε για πρώτη φορά στα μέσα του 2012, όταν είχε στοχοποιήσει συγκεκριμένα πρόσωπα στην Τουρκία. Τότε εντοπίστηκαν περισσότερες από 60.000 μοναδικές λοιμώξεις.

Αυτό που τράβηξε αμέσως την προσοχή των ερευνητών ασφάλειας που το ανακάλυψαν ήταν το μικρό του μέγεθος και η μεγάλη του λειτουργικότητά που συναγωνίζεται πολύ μεγαλύτερα Trojans.

Ερευνητές από το CSIS Security Group, στη Δανία, ανακάλυψαν μια δημοσίευση σε ένα κλειστό υπόγειο . Μετά από προσεκτική ανάλυση, διαπίστωσαν ότι ο πηγαίος κώδικας που υπήρχε στη δημοσίευση ήταν για την πρώτη έκδοση του κακόβουλου λογισμικού που κυκλοφόρησε το 2011-2012.
Διαβάστε περισσότερα για το Tinba από το paper (PDF) της Τrend Μicro.

Το Tinba έχει δημιουργηθεί για να κατασκοπεύει το πρόγραμμα περιήγησης και να συλλέγει τα στοιχεία σύνδεσης. Παρά το γεγονός ότι το μέγεθος του είναι μόνο 20KB, το κακόβουλο λογισμικό χρησιμοποιεί τεχνικές man-in-the-browser (MitB) αλλά και τεχνικές web- για να υποκλέψει και να αποστείλει τα δεδομένα στον δημιουργό του. Αυτή η δραστηριότητα συνήθως πραγματοποιείτε από ειδικά και πολύπλοκα .
Η κυκλοφορία του πηγαίου κώδικα στο διαδίκτυο αυξάνει τον κίνδυνο εμφάνισης νέων trojans που βασίζονται κοινό εν μέρει στον πηγαίο κώδικα του Tinba.
Ο κώδικας συνοδεύεται από πλήρη τεκμηρίωση και μοιάζει ότι είναι δημοσιευμένος όλος από τους developers του. Οι ερευνητές της CSIS σημειώνουν ότι τα πάντα είναι πολύ όμορφα δομημένα και ότι κατά τη διάρκεια της ανάλυσης τους, μπόρεσαν να μεταγλωττίσουν τον κώδικα χωρίς κανένα πρόβλημα.

  Πανεπιστήμιο θύμα ransomware δίνει €200k και παίρνει €500.000

Μόλις εγκατασταθεί το κακόβουλο λογισμικό, αναπτύσσει μια ασαφή injection routine που του επιτρέπει να αποφύγει τον εντοπισμό από τα antivirus.

Οι ερευνητές αναφέρουν ότι μεταξύ των δυνατοτήτων του ήταν η απενεργοποίηση του συναγερμού ψεύτικων ιστοσελίδων στο Mozilla Firefox, έτσι ώστε ο χρήστης να μην υποψιαστεί τίποτα αν σερφάρει σε μολυσμένες ιστοσελίδες.

Η επικοινωνία με το διακομιστή διοίκησης και ελέγχου είναι κρυπτογραφημένη με RC4 και χρησιμοποιεί σε μια σειρά από τέσσερα domains. Σε αυτά προσπαθεί να επικοινωνήσει για να αποστείλει πληροφορίες και κάνει ping μέχρι να λάβει απάντηση.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  26  =  32