Маленький банковский троян

Вредоносная программа

Tiny Banker Trojan , также называемый Tinba , — вредоносная программа, нацеленная на веб-сайты финансовых учреждений. Это модифицированная форма более старой формы вирусов, известных как Banker Trojans, но при этом она намного меньше по размеру и более мощная. Она работает, осуществляя атаки типа «человек в браузере» и сниффинг сети. С момента своего обнаружения было обнаружено, что она заразила более двух десятков крупных банковских учреждений в Соединенных Штатах, включая TD Bank, Chase, HSBC, Wells Fargo, PNC и Bank of America. ^[1] Она предназначена для кражи конфиденциальных данных пользователей, таких как информация для входа в учетную запись и банковские коды.

История

Tiny Banker был впервые обнаружен в 2012 году, когда было обнаружено, что он заразил тысячи компьютеров в Турции. После того, как он был обнаружен, исходный код вредоносного ПО был выложен в сеть и начал подвергаться индивидуальным доработкам, что усложнило процесс его обнаружения для учреждений. ^[2] Это сильно модифицированная версия трояна Zeus , которая имела очень похожий метод атаки для получения той же информации. Однако было обнаружено, что Tinba намного меньше по размеру. Меньший размер делает вредоносное ПО более сложным для обнаружения. Имея размер всего 20 КБ, Tinba намного меньше любого другого известного трояна. Для справки, средний размер файла настольного веб-сайта составляет около 1966 КБ. ^[3]

Операция

Tinba работает с использованием анализа пакетов , метода чтения сетевого трафика, чтобы определить, когда пользователь переходит на банковский веб-сайт. Затем вредоносная программа может выполнить одно из двух различных действий, в зависимости от вариации. В своей самой популярной форме Tinba будет Form grab веб-страницы, вызывая атаку «человек посередине» . Троян использует Form grabbing для захвата нажатий клавиш до того, как они будут зашифрованы HTTPS. Затем Tinba отправляет нажатия клавиш в Command & Control . Этот процесс, в свою очередь, приводит к краже информации пользователя.

Второй метод, который использовала Tinba, — это позволить пользователю войти на веб-страницу. Как только пользователь войдет, вредоносная программа будет использовать информацию о странице для извлечения логотипа компании и форматирования сайта. Затем она создаст всплывающую страницу, информирующую пользователя об обновлениях системы и запрашивающую дополнительную информацию, такую ​​как номера социального страхования. ^[4] Большинство банковских учреждений сообщают своим пользователям, что они никогда не будут запрашивать эту информацию, как способ защиты от подобных атак. Tinba была изменена для решения этой защиты и начала спрашивать у пользователей тип информации, задаваемой в качестве контрольных вопросов, например, девичью фамилию матери пользователя, в попытке злоумышленника использовать эту информацию для сброса пароля в будущем. ^[5]

Tinba также внедряется в другие системные процессы, пытаясь превратить хост-машину в зомби, нежелательного члена ботнета. Для поддержания соединения в ботнете Tinba кодируется четырьмя доменами, поэтому если один из них выходит из строя или теряет связь, троян может немедленно искать один из других. ^[6]

Использование мошенниками

Троян Tiny Banker использовался международными колл-центрами технической поддержки в качестве предлога для подключения к компьютеру жертвы и совершения мошеннических платежей. ^[7] Мошенники утверждают, что банковский счет жертвы был взломан с помощью трояна Tiny Banker, и для того, чтобы обезопасить банковские средства, жертву заставляют покупать подарочные карты, делать переводы Zelle или банковские переводы или покупать биткоины . ^[8]

Смотрите также

• Алуреон
• Ботнет
• Конфикер
• Игра овер ZeuS
• Regin (вредоносное ПО)
• Мошенничество с технической поддержкой
• Хронология компьютерных вирусов и червей
• Троянский конь (вычислительная техника)
• Ботнет ZeroAccess
• Зомби (вычислительный)

Ссылки

1. Virgillito, Dan (19 сентября 2014 г.). «Попытка вредоносного ПО «Tiny Banker» атаковать клиентов американских банков». Massive Alliance . Получено 28.02.2016 .
2. "Обнаружен модифицированный троян Tiny Banker, нацеленный на крупные банки США – Entrust, Inc". Entrust, Inc. Получено 28.02.2016 .
3. "Отчет архива HTTP: вес страницы". Архив HTTP . Получено 28.11.2019 .
4. "Вредоносное ПО 'Tiny banker' нацелено на финансовые учреждения США". PCWorld . Получено 28.02.2016 .
5. "Вредоносное ПО 'Tiny Banker' атакует десятки крупных финансовых учреждений США | The State of Security". The State of Security . Получено 28.02.2016 .
6. Либовиц, Мэтт (2012-05-31). «Маленький банковский троян 'Tinba' — большая проблема». msnbc.com . Получено 28-02-2016 .
7. «Звонок «Apple» обманул жителя на 16 490 долларов: полицейский блоттер Норт-Ройялтона». Cleveland.com . Получено 29.12.2022 .
8. "Angry Scammer Discovers "Tiny Banker Trojan"" . Получено 29.12.2022 – через YouTube.