Tiny Banker Trojan
Tiny Banker Trojan , také volal Tinba , je malware program, který se zaměřuje na finanční stránky instituce. Jedná se o modifikovanou formu starší formy virů známých jako Banker trojské koně, ale je to mnohem menší co do velikosti a silnější. Funguje na základě stanovení typu man-in-the-browse r útoky a sítě čichání. Od svého objevu bylo zjištěno, že nakaženo více než dvě desítky významných bankovních institucí ve Spojených státech, včetně TD Bank, Chase, HSBC, Wells Fargo, PNC a Bank of America. Je navržen tak, aby ukrást uživatele citlivé data, například přihlašovacích údajů k účtu a bankovních kódů.
Historie
Tiny Banker byl poprvé objeven v roce 2012, kdy bylo zjištěno, že nakazit tisíce počítačů v Turecku. Poté, co byl objeven původní zdrojový kód pro malware byl propuštěn on-line a začal prochází jednotlivé revize, aby byl proces odhalování to těžší pro instituce. Jedná se o vysoce modifikovaná verze Zeus Trojan, který měl velmi podobný postup útok získat stejné informace. Tinba však bylo zjištěno, že je mnohem menší. Menší velikost činí malware těžší odhalit. Pouze na 20 kB, Tinba je mnohem menší, než jakékoliv jiné známé Trojan. Pro porovnání je průměrná velikost souboru z webových stránek se pohybuje kolem 1,000KB, takže rozdíl mezi infikovanou webovou stránku a čistým jeden je velmi obtížné pro anti-malware programy rozpoznat.
Provoz
Tinba pracuje na bázi paket čichání , způsob čtení síťového provozu, pro určení, kdy se uživatel dostane na bankovní webové stránky. Malware pak může spustit jednu ze dvou různých akcí, v závislosti na variantě. V jeho nejvíce populární formou, Tinba bude Forma chytit webové stránky způsobuje man-in-the-middle útok. Trojan používá formulář grabování urvat úhozy před tím, než může být šifrována pomocí HTTPS. Tinba pak pošle úhozy do Command & Control , to zase způsobí, že informace uživatele, že byla odcizena.
Druhá metoda, která Tinba použil je umožnit uživateli se přihlásit do webové stránky. Jakmile uživatel nachází, bude malware používat informace stránky extrahovat logo a místa formátování společnosti. Bude potom vytvořit stránku pop-up informovat uživatele o změnách v systému, a žádající dodatečné informace, jako jsou čísla sociálního zabezpečení. Většina bankovní instituce informují své uživatele, že vás nikdy nebude žádat o tyto informace jako cesta k bránit proti těmto druhům útoků. Tinba byl upraven tak, aby řešit tuto obranu, a začala žádá uživatele o druhu informací, zeptal se bezpečnostní otázky, jako jsou rodné jméno uživatele matky, ve snaze o útočníkovi použít tuto informaci k vytvoření nového hesla v pozdější době .
Tinba také vnáší se do jiné systémové procesy, ve snaze převést hostitelský počítač do zombie, neochotný člen v botnetu. Aby byla zachována připojení v robotická Tinba, zakódoval čtyř oblastí, takže když jeden spadne nebo ztratí spojení, Trojan se podívat na jeden z okamžitě ostatních.