Lille bankmand

Tiny Banker , Tinba  er en trojaner , der har været kendt siden 2012. Denne malware er rettet mod amerikanske finansinstitutters websteder og er designet til at stjæle følsomme brugerdata såsom kontologinoplysninger og bankkoder. Det er en modificeret Trojan ZeuS [1] [2] .

På tidspunktet for udgivelsen var det en ny form for banktrojaner, meget mindre og mere kraftfuld end tidligere kendte. Tinba opererer ved at organisere mand -i-browseren og netværkskapringangreb .  Siden sin opdagelse har denne trojaner vist sig at have inficeret mere end to dusin store bankinstitutioner i USA , inklusive TD Bank, Chase , HSBC , Wells Fargo , PNC og Bank of America [3] [2] .

Historie

Tiny Banker blev først opdaget i midten af ​​2012, da den inficerede tusindvis af computere i Tyrkiet [4] . Efter dens opdagelse kom kildekoden til denne malware ind på nettet og blev udsat for ændringer, hvilket komplicerede processen med dets opdagelse [1] .

Tiny Banker er en stærkt modificeret version af Zeus Trojan , som havde en meget lignende angrebsmetode. Tinbas meget mindre størrelse gør det dog svært at få øje på. Med kun 20 KB er Tinba meget mindre end nogen anden kendt computertrojaner [1] .

Trojanerens arbejde

Tinba bruger packet sniffing (alias netværkstrafik sniffing) til at bestemme, hvornår en bruger navigerer til en banks hjemmeside. Malwaren kan derefter starte en af ​​to forskellige handlinger, afhængigt af dens variant. I sin mest populære form vil Tinba opsnappe de indtastede adgangskoder i et man-in-the-middle- angreb . Trojaneren bruger formfangst til at fange tastetryk, før de krypteres over HTTPS. Tinba sender derefter tastetryk til botnet -kontrolserveren . Som et resultat bliver brugeroplysninger stjålet.

Den anden metode, som Tinba bruger, er at give brugeren mulighed for at logge ind på websiden. Når brugeren logger ind, vil malwaren bruge sideoplysningerne til at udtrække firmalogoet og formatere webstedet. Det vil derefter oprette en popup-side, der informerer brugeren om systemopdateringer og beder om yderligere oplysninger såsom cpr-numre [4] . De fleste pengeinstitutter informerer deres brugere om, at de aldrig vil bede om disse oplysninger som en måde at beskytte sig mod sådanne angreb. Tinba er blevet ændret for at tage hensyn til denne beskyttelse og begynde at bede brugerne om den type information, der stilles som sikkerhedsspørgsmål, såsom brugerens mors pigenavn, så angribere senere kan bruge disse oplysninger til at nulstille deres adgangskode [5] .

Tinba trænger også ind i andre systemprocesser i et forsøg på at gøre værtsmaskinen til en zombie (botnet-medlem). For at holde botnettet forbundet, er Tinba kodet med fire domæner, så hvis et af dem går ned eller mister forbindelsen, kan trojaneren straks finde nye ved hjælp af de resterende [6] .

Noter

1. ↑ 1 2 3 Modificeret lille banker-trojaner fundet rettet mod store amerikanske banker – Entrust, Inc.  (engelsk) . Betro Inc. . Dato for adgang: 28. februar 2016. Arkiveret fra originalen 4. marts 2016.
2. ↑ 1 2 Tiny Banker Trojan angreb amerikanske finansielle institutioner  : [ arch. 12. august 2020 ] // SecurityLab. - 2014. - 16. september.
3. ↑ 'Tiny Banker' Malware forsøgt på kunder i amerikanske banker  : [ eng. ]  : [blog] / Medieafdeling // Massiv. - 2014. - 19. september.
4. ↑ 1 2 Kirk, J. 'Tiny banker' malware retter sig mod amerikanske finansinstitutioner  : [ eng. ]  : [ bue. 16. september 2021 ] // PCWorld. - 2014. - 15. september.
5. ↑ Santillan, M. 'Tiny Banker' Malware retter sig mod snesevis af større amerikanske finansielle institutioner: [ eng. ]  : [ bue. 20. december 2014 ] // Sikkerhedstilstanden. - 2014. - 16. september.
6. ↑ Liebowitz, M. Tiny 'Tinba' Banking Trojan Is Big Trouble  : [ eng. ]  : [ bue. 30. oktober 2020 ] // NBC News Digital. - 2012. - 31. maj.