Крошечный троян-банкир

Троян Tiny Banker , также называемый Tinba , представляет собой вредоносную программу, нацеленную на веб-сайты финансовых учреждений. Это модифицированная форма более старой формы вирусов, известной как банковские трояны, однако она намного меньше по размеру и более мощна. Он работает путем организации атак «человек в браузере» и перехвата сети. Было обнаружено, что с момента его обнаружения он заразил более двух десятков крупных банковских учреждений в Соединенных Штатах, включая TD Bank, Chase, HSBC, Wells Fargo, PNC и Bank of America. ^[1] Он предназначен для кражи конфиденциальных данных пользователей, таких как данные для входа в учетную запись и банковские коды.

История

Впервые Tiny Banker был обнаружен в 2012 году, когда выяснилось, что он заразил тысячи компьютеров в Турции. После того как исходный код вредоносного ПО был обнаружен, он попал в сеть и начал подвергаться отдельным изменениям, что усложнило процесс его обнаружения для учреждений. ^[2] Это сильно модифицированная версия трояна Zeus , который имел очень похожий метод атаки для получения той же информации. Однако Тинба оказался намного меньше по размеру. Меньший размер затрудняет обнаружение вредоносного ПО. Размер Tinba составляет всего 20 КБ, он намного меньше любого другого известного трояна. Для справки: средний размер файла настольного веб-сайта составляет около 1966 КБ. ^[3]

Операция

Tinba использует перехват пакетов — метод чтения сетевого трафика, чтобы определить, когда пользователь переходит на банковский веб-сайт. Затем вредоносная программа может запустить одно из двух различных действий, в зависимости от варианта. В своей самой популярной форме Tinba формирует захват веб-страницы, вызывая атаку «человек посередине» . Троянец использует перехват форм для перехвата нажатий клавиш до того, как они смогут быть зашифрованы с помощью HTTPS. Затем Tinba отправляет нажатия клавиш в Command & Control . Этот процесс, в свою очередь, приводит к краже информации пользователя.

Второй метод, который использовал Tinba, — разрешить пользователю войти на веб-страницу. Как только пользователь войдет в систему, вредоносная программа будет использовать информацию о странице для извлечения логотипа компании и форматирования сайта. Затем он создаст всплывающую страницу, информирующую пользователя об обновлениях системы и запрашивающую дополнительную информацию, например номера социального страхования. ^[4] Большинство банковских учреждений сообщают своим пользователям, что они никогда не будут запрашивать эту информацию в качестве способа защиты от атак такого типа. Tinba был изменен для решения этой защиты и начал запрашивать у пользователей тип информации, задаваемой в качестве контрольных вопросов, например девичью фамилию матери пользователя, в попытке злоумышленника использовать эту информацию для сброса пароля в более позднее время. . ^[5]

Tinba также внедряется в другие системные процессы, пытаясь превратить хост-машину в зомби, невольного участника ботнета. Чтобы поддерживать соединение в ботнете, Tinba закодирован четырьмя доменами, поэтому, если один из них выходит из строя или теряет связь, троянец может немедленно искать другой. ^[6]

Использование мошенниками

Троян Tiny Banker использовался международными технической поддержки мошенническими колл-центрами в качестве предлога для подключения к компьютеру жертвы и выставления мошеннических обвинений. ^[7] Мошенники будут утверждать, что банковский счет жертвы был взломан с помощью трояна Tiny Banker, и чтобы обезопасить банковские средства, жертву заставят купить подарочные карты, сделать Zelle или банковский перевод или купить биткойны . ^[8]

См. также

Ссылки

^ Виргиллито, Дэн (19 сентября 2014 г.). « Вредоносное ПО «Tiny Banker» атаковано клиентами банков США» . Массивный Альянс . Проверено 28 февраля 2016 г.
^ «Обнаружен модифицированный троян Tiny Banker, нацеленный на крупные банки США – Entrust, Inc» . Энтраст, Инк . Проверено 28 февраля 2016 г.
^ «Отчет об архиве HTTP: вес страницы» . HTTP-архив . Проверено 28 ноября 2019 г.
^ « Вредоносная программа «Tiny Banker» нацелена на финансовые учреждения США» . ПКМир . Проверено 28 февраля 2016 г.
^ « Вредоносное ПО «Tiny Banker» нацелено на десятки крупных финансовых учреждений США | Состояние безопасности» . Государство безопасности . Проверено 28 февраля 2016 г.
^ Либовиц, Мэтт (31 мая 2012 г.). «Маленький банковский троян Tinba — большая проблема» . msnbc.com . Проверено 28 февраля 2016 г.
^ « Позвонивший в Apple обманул жителя на 16 490 долларов: полицейский бюллетень Норт-Ройялтона» . Кливленд.com . Проверено 29 декабря 2022 г.
^ «Злой мошенник обнаруживает «крошечного банковского трояна» » . Получено 29 декабря 2022 г. - через YouTube.

[1] Виргиллито, Дэн (19 сентября 2014 г.). « Вредоносное ПО «Tiny Banker» атаковано клиентами банков США» . Массивный Альянс . Проверено 28 февраля 2016 г.

[2] «Обнаружен модифицированный троян Tiny Banker, нацеленный на крупные банки США – Entrust, Inc» . Энтраст, Инк . Проверено 28 февраля 2016 г.

[3] «Отчет об архиве HTTP: вес страницы» . HTTP-архив . Проверено 28 ноября 2019 г.

[4] « Вредоносная программа «Tiny Banker» нацелена на финансовые учреждения США» . ПКМир . Проверено 28 февраля 2016 г.

[5] « Вредоносное ПО «Tiny Banker» нацелено на десятки крупных финансовых учреждений США | Состояние безопасности» . Государство безопасности . Проверено 28 февраля 2016 г.

[6] Либовиц, Мэтт (31 мая 2012 г.). «Маленький банковский троян Tinba — большая проблема» . msnbc.com . Проверено 28 февраля 2016 г.

[7] « Позвонивший в Apple обманул жителя на 16 490 долларов: полицейский бюллетень Норт-Ройялтона» . Кливленд.com . Проверено 29 декабря 2022 г.

[8] «Злой мошенник обнаруживает «крошечного банковского трояна» » . Получено 29 декабря 2022 г. - через YouTube.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]