Petit cheval de Troie banquier - Tiny Banker Trojan
Tiny Banker Trojan , également appelé Tinba , est un programme malveillant qui cible les sites Web des institutions financières. Il s'agit d'une forme modifiée d'une ancienne forme de virus connue sous le nom de chevaux de Troie bancaires, mais elle est beaucoup plus petite et plus puissante. Il fonctionne en établissant des attaques de type " man-in-the-browser" et en reniflant le réseau. Depuis sa découverte, il a été découvert qu'il avait infecté plus de deux douzaines de grandes institutions bancaires aux États-Unis, notamment TD Bank, Chase, HSBC, Wells Fargo, PNC et Bank of America. Il est conçu pour voler les données sensibles des utilisateurs, telles que les informations de connexion au compte et les codes bancaires.
Histoire
Tiny Banker a été découvert pour la première fois en 2012 lorsqu'il a été découvert qu'il avait infecté des milliers d'ordinateurs en Turquie. Après sa découverte, le code source original du malware a été divulgué en ligne et a commencé à subir des révisions individuelles, ce qui a rendu le processus de détection plus difficile pour les institutions. Il s'agit d'une version hautement modifiée du cheval de Troie Zeus , qui avait une méthode d'attaque très similaire pour obtenir les mêmes informations. Tinba, cependant, s'est avéré beaucoup plus petit. La taille plus petite rend le malware plus difficile à détecter. Avec seulement 20 Ko, Tinba est beaucoup plus petit que tout autre cheval de Troie connu. Pour référence, la taille de fichier médiane d'un site Web de bureau est d'environ 1 966 Ko.
Opération
Tinba utilise le reniflage de paquets , une méthode de lecture du trafic réseau, pour déterminer quand un utilisateur navigue vers un site Web bancaire. Le malware peut alors lancer l'une des deux actions différentes, selon la variation. Dans sa forme la plus populaire, Tinba va saisir la page Web, provoquant une attaque de l'homme du milieu . Le cheval de Troie utilise la saisie de formulaire pour saisir les frappes avant qu'elles ne puissent être chiffrées par HTTPS. Tinba envoie ensuite les frappes à un Command & Control . Ce processus, à son tour, provoque le vol des informations d'un utilisateur.
La deuxième méthode utilisée par Tinba consiste à permettre à l'utilisateur de se connecter à la page Web. Une fois l'utilisateur connecté, le logiciel malveillant utilisera les informations de la page pour extraire le logo de l'entreprise et le formatage du site. Il créera ensuite une page contextuelle informant l'utilisateur des mises à jour du système et demandant des informations supplémentaires, telles que les numéros de sécurité sociale. La plupart des institutions bancaires informent leurs utilisateurs qu'elles ne demanderont jamais ces informations pour se défendre contre ce type d'attaques. Tinba a été modifié pour répondre à cette défense et a commencé à demander aux utilisateurs le type d'informations posées en tant que questions de sécurité, telles que le nom de jeune fille de la mère de l'utilisateur, afin que l'attaquant utilise ces informations pour réinitialiser le mot de passe ultérieurement. .
Tinba s'injecte également dans d'autres processus système, pour tenter de convertir la machine hôte en un zombie, un membre involontaire d'un botnet. Afin de maintenir la connexion dans le botnet, Tinba est codé avec quatre domaines, donc si l'un tombe en panne ou perd la communication, le cheval de Troie peut rechercher l'un des autres immédiatement.