Европейцев атакует обновленный Tinba

TinbaИсследователи из IBM Trusteer предупреждают о новой вредоносной кампании, нацеленной на распространение Tinba на территории Западной Европы. Как показал анализ, этот крохотный банковский троянец вновь обрел дополнительные свойства, повышающие его эффективность, а также жизнестойкость ботнетов, построенных на его основе.

Согласно статистике Trusteer, в минувшем месяце Tinba чаще прочих атаковал жителей Польши (45% инцидентов) и Италии (21%), заметно меньше – голландцев и немцев (10 и 5% соответственно).

По свидетельству экспертов, веб-инжекты обновленного банкера допускают большое разнообразие поддельных сообщений и форм, отображаемых жертве. У пользователя запрашивают персональные и регистрационные данные в зависимости от банка-мишени, ему могут также сообщить о временной блокировке аккаунта и попросить срочно инициировать транзакцию под предлогом мнимой ошибки в денежном переводе в его пользу.

Как отмечает Trusteer, эволюция Tinba пошла значительно быстрее после утечки исходного кода, операторы ботнетов теперь могут производить любые модификации без спроса и без оплаты. Распространяется данный зловред преимущественно через спам и, помимо Западной Европы, освоил также США и Канаду.

Анализ нового варианта Tinba выявил ряд технологий, помогающих оператору ботнета уберечь его от обнаружения и захвата:

  • подпись открытым ключом гарантирует прием лишь тех команд и обновлений, которые авторизованы ботоводом;
  • аутентификация сервера ботами перед закачкой обновлений;
  • дополнительный слой шифрования для каждого бота, привязанный к зараженной машине, во избежание подмены;
  • резервная связь с C&C с помощью DGA в дополнение в прописанным в коде URL (уже наблюдалось ранее).
НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Европейцев атакует обновленный Tinba