Tiny Banker Trojan , также называемый Tinba , представляет собой вредоносную программу, нацеленную на веб-сайты финансовых учреждений. Это модифицированная форма старой формы вирусов, известных как банковские трояны, но она намного меньше по размеру и более мощная. Он работает путем организации атак типа «злоумышленник в браузере» и перехвата сети. С момента своего открытия было установлено, что он заразил более двух десятков крупных банковских учреждений в Соединенных Штатах, включая TD Bank, Chase, HSBC, Wells Fargo, PNC и Bank of America. [1] Он предназначен для кражи конфиденциальных данных пользователей, таких как данные для входа в учетную запись и банковские коды.
История
Tiny Banker был впервые обнаружен в 2012 году, когда было обнаружено, что он заразил тысячи компьютеров в Турции. После того, как это было обнаружено, исходный исходный код вредоносного ПО был просочился в сеть и начал подвергаться индивидуальным изменениям, что усложнило процесс его обнаружения для учреждений. [2] Это сильно модифицированная версия троянца Zeus , у которого был очень похожий метод атаки для получения той же информации. Однако Тинба оказался намного меньше по размеру. Меньший размер затрудняет обнаружение вредоносного ПО. При размере всего 20 КБ Tinba намного меньше любого другого известного троянца. Для справки, средний размер файла для настольного веб-сайта составляет около 1966 КБ. [3]
Операция
Tinba использует анализ пакетов , метод чтения сетевого трафика, чтобы определить, когда пользователь переходит на веб-сайт банка. Затем вредоносная программа может запустить одно из двух различных действий, в зависимости от варианта. В своей самой популярной форме Tinba будет захватывать веб-страницу, вызывая атаку «человек посередине» . Троянец использует захват форм для захвата нажатий клавиш перед их шифрованием по HTTPS. Затем Тинба отправляет нажатия клавиш в Command & Control . Этот процесс, в свою очередь, приводит к краже информации пользователя.
Второй метод, который использовал Tinba, - разрешить пользователю войти на веб-страницу. Как только пользователь войдет в систему, вредоносная программа будет использовать информацию о странице для извлечения логотипа компании и форматирования сайта. Затем он создаст всплывающую страницу, информирующую пользователя об обновлениях системы и запрашивающую дополнительную информацию, такую как номера социального страхования. [4] Большинство банковских учреждений информируют своих пользователей, что они никогда не будут запрашивать эту информацию как способ защиты от подобных атак. Tinba был изменен с учетом этой защиты и начал запрашивать у пользователей тип информации, задаваемой в качестве вопросов безопасности, например девичью фамилию матери пользователя, в попытке злоумышленника использовать эту информацию для сброса пароля в более позднее время. . [5]
Tinba также внедряется в другие системные процессы, пытаясь превратить хост-машину в зомби, нежелательного участника ботнета. Чтобы поддерживать соединение в ботнете, Tinba закодирован с четырьмя доменами, поэтому, если один из них выйдет из строя или потеряет связь, троянец может немедленно найти один из других. [6]
Смотрите также
Рекомендации
- ^ Вирджиллито, Дэн. « Попытка вредоносного ПО « Tiny Banker »на клиентов американских банков» . Массивный альянс . Проверено 28 февраля 2016 .
- ^ «Обнаружен модифицированный троян Tiny Banker, нацеленный на крупные банки США - Entrust, Inc.» . Доверьте, Inc . Проверено 28 февраля 2016 .
- ^ «Отчет об архиве HTTP: Вес страницы» . HTTP-архив . Проверено 28 ноября 2019 .
- ^ « Вредоносное ПО « Tiny banker »нацелено на финансовые учреждения США» . PCWorld . Проверено 28 февраля 2016 .
- ^ « „ Крошечные Banker“вредоносных программ Цели десятки крупных финансовых институтов США | Положение дел в области безопасности» . Состояние безопасности . Проверено 28 февраля 2016 .
- ^ «Крошечный банковский троян Tinba - большая проблема» . msnbc.com . Проверено 28 февраля 2016 .
