Xuất hiện biến thể Trojan Tinba mới

Các mã nguồn bị rò rỉ của Tinba Trojan, còn được gọi là Tinybanker và Zusy, đã được sửa đổi bởi tội phạm mạng, những kẻ gắn nó với user-mode rootkit (rootkit chế độ người dùng) có khả năng và quy trình xác thực để đảm bảo rằng các thông điệp được gửi từ một bot chủ đích thực.

Các biến thể mới của phần mềm độc hại cũng bao gồm một thuật toán thế hệ tên miền (DGA) như là dự phòng khi các máy chủ C&C được mã hóa  bị sập.

Trojan này nó trở nên nổi tiếng vì mặc dù kích thước nhỏ, nhưng nó tích hợp được các tính năng có thể cạnh tranh với những phần mềm độc hại tấn công ngân hàng lớn hơn rất nhiều.

Được phát hiện vào năm 2012, khi nó ảnh hưởng đến người dùng ở Thổ Nhĩ Kỳ, mã nguồn của nó bị rò rỉ vào tháng Bảy năm 2014 và một thời gian ngắn sau đó, nó đã được phát hiện trong một cuộc tấn công nhắm mục tiêu vào khách hàng của các ngân hàng tại Cộng hòa Séc.

Tại thời điểm này, danh sách các người dùng vượt ra ngoài các quốc gia này, vì lây nhiễm đã được phát hiện tại các nơi khác trên thế giới, bao gồm Hoa Kỳ và Canada.

Theo các nhà nghiên cứu từ Trusteer – những người đã phân tích mẫu mới này, các tác giả phần mềm độc hại đã lấy mã nguồn của các Trojan và thêm một thuật toán sinh tên miền (DGA), như một dự phòng cho việc liên hệ với các máy chủ điều khiển.

Biến thể mới dựa trên thư viện crypt32 Windows để xác thực máy chủ. Các máy tính bị lây nhiễm sẽ gửi một yêu cầu bao gồm rất nhiều time stamp counters (đếm số lượng các chu kỳ CPU kể từ khi reset lại) được kết hợp với nhau. Kỹ thuật này đảm bảo mỗi lần gửi sẽ có một dữ liệu xác thực khác biệt được gửi, vì vậy việc chặn một challenge trong một lần gửi không đủ để mạo danh các máy chủ C&C.

Tiếp theo, một hash (SHA1) của thông điệp được mã hóa với một khóa riêng ở phía máy chủ và chuyển cho các máy tính bị xâm nhập. Phản hồi được kiểm tra bởi Tinba với một khóa công khai có sẵn trong mã, nếu xác thực thất bại, thông tin liên lạc sẽ bị gián đoạn.

Webinject động được áp dụng

Những nhà nghiên cứu Trusteer phát hiện ra rằng cấu hình của Tinba mới có đặc tính webinjects của mã Javascript độc hại từ bên ngoài, có khả năng thay đổi linh hoạt để phù hợp với giao diện của trang gốc.

Đối với điều này, các tội phạm mạng sử dụng một bảng điều khiển hệ thống truyền động cơ tự động, cũng được sử dụng bởi các phiên bản mới nhất của Zeus. Điều này khiến Tinba đang trở thành một mối đe dọa thậm chí còn phức tạp hơn so với trước đây.

Những webinjects động là một phần của cơ sở hạ tầng ATSEngine cho phép kẻ tấn công thu thập các dữ liệu đa yếu tố, chẳng hạn như loại thẻ tín dụng của nạn nhân (thẻ tín dụng, thẻ ghi nợ), CVV, mã PIN và số SSN.

Seculert công bố một phân tích vào cuối tuần, lưu ý rằng trong các hình thức mới, tất cả các mẫu của Tinba đi kèm với một tên miền đã được mã hóa. “Các thông số này được tích hợp vào DGA tạo ra 1000 tên miền đặc biệt dành riêng cho mẫu đó. Điều này tạo ra một loạt các tên miền mới, giúp phần mềm độc hại tránh bị phát hiện dễ dàng hơn”, Aviv Raff, lãnh đạo nhóm nghiên cứu tại Seculert cho biết.

Ông cũng quan sát thấy rằng các biến thể mới nhất của Trojan tấn công ngân hàng có thể đưa mã vào các bộ xử lý 64-bit, có khả năng mở rộng số lượng máy nó có thể gây hại. Mặc dù các chuyên gia an ninh sẽ theo dõi sát sao diễn biến mới của nhóm phần mềm độc hại này, tội phạm mạng sẽ không ngừng cải tiến các mã cũ hoặc phát triển các mối đe dọa mới.

Softpedia