Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
Netherlands
New Zealand
North Macedonia
Norway
Philippines
Poland
Portugal
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
Malware Analysis Report: Tinbapore
Potrivit raportului F5 (https://devcentral.f5.com/articles/tinbapore-millions-of-dollars-at-risk) , noua varianta de malware, denumita Tinbapore, a fost detectata initial în noiembrie 2015 si a pus deja în pericol milioane de dolari.
Investigatia expertilor in securitate F5 a aratat ca Tinbapore este de fapt o varianta a fostului Malware Tinba care viza institutiile financiare din Europa, Orientul Mijlociu si Africa (EMEA) si cele doua Americi. Tinba, cunoscuta si sub denumirile Tinybanker, Zusy si HμNT€R$, este un troian bancar care a aparut in mai 2012, utilizat în principal pentru a viza utilizatorii din regiunea Europa, Orientul Mijlociu, Africa (EMEA) si cele doua Americi. Malware-ul a fost remarcat în principal pentru dimensiunea sa foarte mica, de aproximativ 20 KB, inclusiv toate Webinject-urile si configuratia.
Versiunile mai noi si imbunatatite ale malware-ului folosesc un algoritm de generare a domeniilor (DGA), care face ca malware-ul sa fie mult mai persistent si ofera posibilitatea de recuperare chiar dupa ce un server de comanda si control (C&C) este oprit. Aceasta noua varianta a Tinba, Tinbapore, creeaza acum propria sesiune de explorer.exe care ruleaza pe fundal.
De asemenea, cercetatorii de securitate noteaza si ca malware-ul este un rootkit, ceea ce inseamna ca se ataseaza la functiile sistemului pentru a obtine privilegii mai ridicate de administrare a sistemului decât utilizatorul.
Tinbapore include un sistem de gestionare cu injectarea motoarelor Automatic Transfer Systems (ATS) prin care injecteaza continut în browser-ul victimei si trimite informatiile colectate înapoi la serverul ATS. Script-ul injectat, care este de obicei un mesaj care informeaza utilizatorii ca resursa pe care încercau sa o acceseze nu era disponibila, este apoi sters pentru a acoperi urmele malware-ului.
Codul sursa pentru Tinba a aparut online în iulie 2014, iar de atunci au fost observate variante noi si îmbunatatite ale malware-ului. In iunie anul trecut, malware-ul bancar a fost remarcat vizand clienti ai unor institutii financiare europene, iar Abuse.ch, un site de securitate din Elvetia care monitorizeaza campaniile malware, a aratat în noiembrie ca Troianul viza în principal utilizatori din Rusia si Polonia.
Download Raport
