Interested Article - Tiny Banker

Tiny Banker , Tinba — троянская программа , известная с 2012 года. Эта вредоносная программа нацелена на сайты финансовых учреждений США, предназначена для кражи конфиденциальных данных пользователей, таких как данные для входа в учетную запись и банковские коды. Представляет собой модифицированный троян ZeuS .

На момент появления это была новая форма банковского трояна, намного меньшая по размеру и более мощная, чем известные ранее. Tinba действует путем организации атак типов « ( англ. )» и «перехват сети». С момента его обнаружения было установлено, что этот троян заразил более двух десятков крупных банковских учреждений в США , включая TD Bank, Chase , HSBC , Wells Fargo , PNC и Bank of America .

История

Tiny Banker был впервые обнаружен в середине 2012 года, когда он заразил тысячи компьютеров в Турции . После его обнаружения исходный код этого вредоносного ПО попал в Сеть и был подвергнут изменениям, что усложнило процесс его обнаружения .

Tiny Banker представляет собой сильно модифицированную версию трояна Zeus , у которого был очень похожий метод атаки. Однако намного меньший размер Tinba затрудняет его обнаружение. При размере всего 20 КБ Tinba намного меньше любого другого известного компьютерного трояна .

Работа трояна

Tinba использует анализ пакетов (иначе — анализ сетевого трафика), чтобы определить, когда пользователь переходит на веб-сайт банка. Затем вредоносная программа может запустить одно из двух различных действий, в зависимости от её варианта. В своей самой популярной форме Tinba будет перехватывать введённые пароли, проводя атаку « человек посередине ». Троянец использует захват форм для захвата нажатий клавиш перед их шифрованием по HTTPS. Затем Тинба отправляет нажатия клавиш на сервер управления ботнетом . В результате крадётся информация пользователя.

Второй метод, использованный в Tinba, — разрешить пользователю войти на веб-страницу. Как только пользователь войдет в систему, вредоносная программа будет использовать информацию о странице для извлечения логотипа компании и форматирования сайта. Затем он создаст всплывающую страницу, информирующую пользователя об обновлениях системы и запрашивающую дополнительную информацию, такую как номера социального страхования . Большинство банковских учреждений информируют своих пользователей о том, что они никогда не будут запрашивать эту информацию как способ защиты от подобных атак. Tinba был изменен с учетом этой защиты и начал запрашивать у пользователей тип информации, задаваемой в качестве вопросов безопасности, например, девичью фамилию матери пользователя, чтобы злоумышленники позже смогли использовать эту информацию для сброса пароля .

Tinba также внедряется в другие системные процессы, пытаясь превратить хост-машину в зомби (участника ботнета). Чтобы поддерживать соединение в ботнете, Tinba закодирован с четырьмя доменами, поэтому, если один из них выйдет из строя или потеряет связь, троян с помощью оставшихся может немедленно найти новый(е) .

Примечания

↑ (англ.) . Entrust, Inc. . Дата обращения: 28 февраля 2016. 4 марта 2016 года.
↑ : [ 12 августа 2020 ] // SecurotyLab. — 2014. — 16 сентября.
: [ англ. ] : [блог] / Media Division // Massive. — 2014. — 19 September.
↑ Kirk, J. : [ англ. ] : [ 16 сентября 2021 ] // PCWorld. — 2014. — 15 September.
Santillan, M. ‘Tiny Banker’ Malware Targets Dozens of Major US Financial Institutions : [ англ. ] : [ 20 декабря 2014 ] // The State of Security. — 2014. — 16 September.
Liebowitz, M. : [ англ. ] : [ 30 октября 2020 ] // NBC News Digital. — 2012. — 31 May.