Tiny Banker Trojan , también llamado Tinba , es un programa de malware que se dirige a los sitios web de las instituciones financieras. Es una forma modificada de una forma más antigua de virus conocida como troyanos bancarios, pero es mucho más pequeña y más poderosa. Funciona mediante el establecimiento de ataques de hombre en el navegador y rastreo de redes. Desde su descubrimiento, se ha descubierto que ha infectado a más de dos docenas de importantes instituciones bancarias en los Estados Unidos, incluidas TD Bank, Chase, HSBC, Wells Fargo, PNC y Bank of America. [1] Está diseñado para robar datos confidenciales de los usuarios, como información de inicio de sesión de la cuenta y códigos bancarios.
Historia
Tiny Banker se descubrió por primera vez en 2012 cuando se descubrió que había infectado miles de computadoras en Turquía. Después de que se descubrió, el código fuente original del malware se filtró en línea y comenzó a someterse a revisiones individuales, lo que dificultó el proceso de detección para las instituciones. [2] Es una versión altamente modificada del troyano Zeus , que tenía un método de ataque muy similar para obtener la misma información. Sin embargo, se descubrió que Tinba era de tamaño mucho más pequeño. El tamaño más pequeño hace que el malware sea más difícil de detectar. Con solo 20 KB, Tinba es mucho más pequeño que cualquier otro troyano conocido. Como referencia, el tamaño de archivo medio de un sitio web de escritorio es de alrededor de 1.966 KB. [3]
Operación
Tinba opera mediante el rastreo de paquetes , un método de lectura del tráfico de la red, para determinar cuándo un usuario navega a un sitio web bancario. El malware puede lanzar una de dos acciones diferentes, según la variación. En su forma más popular, Tinba se apoderará de la página web y provocará un ataque de intermediario . El troyano utiliza la captura de formularios para capturar las pulsaciones de teclas antes de que HTTPS las pueda cifrar. Tinba luego envía las pulsaciones de teclas a Command & Control . Este proceso, a su vez, hace que la información de un usuario sea robada.
El segundo método que ha utilizado Tinba es permitir que el usuario inicie sesión en la página web. Una vez que el usuario ingresa, el malware utilizará la información de la página para extraer el logotipo de la empresa y el formato del sitio. Luego, creará una página emergente que informará al usuario de las actualizaciones del sistema y solicitará información adicional, como números de seguro social. [4] La mayoría de las instituciones bancarias informan a sus usuarios que nunca les pedirán esta información como forma de defenderse de este tipo de ataques. Tinba ha sido modificado para abordar esta defensa y ha comenzado a pedir a los usuarios el tipo de información que se hace como preguntas de seguridad, como el apellido de soltera de la madre del usuario, en un intento de que el atacante use esta información para restablecer la contraseña en un momento posterior. . [5]
Tinba también se inyecta en otros procesos del sistema, en un intento de convertir la máquina host en un zombi, un miembro involuntario de una botnet. Para mantener la conexión en la botnet, Tinba está codificado con cuatro dominios, por lo que si uno se cae o pierde la comunicación, el troyano puede buscar uno de los otros inmediatamente. [6]
Ver también
Referencias
- ^ Virgillito, Dan. " Malware ' Tiny Banker' intentado contra clientes de bancos estadounidenses" . Alianza masiva . Consultado el 28 de febrero de 2016 .
- ^ "Troyano bancario minúsculo modificado encontrado dirigido a los principales bancos de Estados Unidos - Entrust, Inc" . Entrust, Inc . Consultado el 28 de febrero de 2016 .
- ^ "Informe de archivo HTTP: peso de la página" . Archivo HTTP . Consultado el 28 de noviembre de 2019 .
- ^ " El malware ' Tiny banker' tiene como objetivo las instituciones financieras de EE . UU . " . PCWorld . Consultado el 28 de febrero de 2016 .
- ^ " El malware ' Tiny Banker' se dirige a docenas de las principales instituciones financieras de EE. UU. | El estado de la seguridad" . El estado de seguridad . Consultado el 28 de febrero de 2016 .
- ^ "El pequeño troyano bancario 'Tinba' es un gran problema" . msnbc.com . Consultado el 28 de febrero de 2016 .