Tiny Banker троян - Tiny Banker Trojan

Tiny Banker троян, также называемый Тинба, - это вредоносная программа, нацеленная на веб-сайты финансовых учреждений. Это модифицированная форма старой формы вирусов, известных как банковские троянцы, но она намного меньше по размеру и более мощная. Он работает путем создания человек-в-браузере атаки и перехват сети. С момента своего открытия было обнаружено, что он заразил более двух десятков крупных банковских учреждений в США, включая TD Bank, Chase, HSBC, Wells Fargo, PNC и Bank of America.[1] Он предназначен для кражи конфиденциальных данных пользователей, таких как данные для входа в учетную запись и банковские коды.

История

Tiny Banker был впервые обнаружен в 2012 году, когда было обнаружено, что он заразил тысячи компьютеров в Турции. После того, как это было обнаружено, исходный исходный код вредоносного ПО просочился в сеть и начал подвергаться индивидуальным изменениям, что усложнило процесс обнаружения для учреждений.[2] Это сильно модифицированная версия Зевс троян, у которого был очень похожий метод атаки для получения той же информации. Однако Тинба оказался намного меньше по размеру. Меньший размер затрудняет обнаружение вредоносного ПО. При размере всего 20 КБ Tinba намного меньше любого другого известного троянца. Для справки, средний размер файла на настольном веб-сайте составляет около 1966 КБ.[3]

Операция

Тинба использует анализ пакетов, метод чтения сетевого трафика, чтобы определить, когда пользователь переходит на веб-сайт банка. Затем вредоносная программа может запустить одно из двух различных действий в зависимости от варианта. В своей самой популярной форме Tinba будет Форма захвата веб-страница, вызывающая атака "человек посередине". Троянец использует захват форм для захвата нажатий клавиш перед их шифрованием по HTTPS. Затем Тинба отправляет нажатия клавиш на Командование и контроль. Это, в свою очередь, приводит к краже информации пользователя.

Второй метод, который использовал Tinba, - разрешить пользователю войти на веб-страницу. Когда пользователь войдет в систему, вредоносная программа будет использовать информацию о странице для извлечения логотипа компании и форматирования сайта. Затем он создаст всплывающую страницу, информирующую пользователя об обновлениях системы и запрашивающую дополнительную информацию, такую ​​как номера социального страхования.[4] Большинство банковских учреждений информируют своих пользователей, что они никогда не будут запрашивать эту информацию как способ защиты от атак такого типа. Tinba был изменен с учетом этой защиты и начал запрашивать у пользователей тип информации, задаваемой в качестве вопросов безопасности, например девичью фамилию матери пользователя, в попытке злоумышленника использовать эту информацию для сброса пароля в более позднее время. .[5]

Tinba также внедряется в другие системные процессы, пытаясь превратить хост-машину в зомби, не желающего участвовать в ботнете. Чтобы поддерживать соединение в ботнете, Tinba закодирован с четырьмя доменами, поэтому, если один из них выйдет из строя или потеряет связь, троянец может немедленно найти один из других.[6]

Смотрите также

Рекомендации

  1. ^ Вирджиллито, Дэн. "'Попытка вредоносного ПО Tiny Banker на клиентов американских банков ». Массивный альянс. Получено 2016-02-28.
  2. ^ "Обнаружен модифицированный троян Tiny Banker, нацеленный на крупные банки США - Entrust, Inc.". Entrust, Inc. Получено 2016-02-28.
  3. ^ «Отчет об архиве HTTP: вес страницы». HTTP-архив. Получено 2019-11-28.
  4. ^ "'Вредоносное ПО крошечного банкира нацелено на финансовые учреждения США ". PCWorld. Получено 2016-02-28.
  5. ^ "'Вредоносное ПО Tiny Banker нацелено на десятки крупных финансовых институтов США | Состояние безопасности ». Состояние безопасности. Получено 2016-02-28.
  6. ^ "Крошечный банковский троян Tinba - большая проблема". msnbc.com. Получено 2016-02-28.