Infos

Divulgation du code source du cheval de troie bancaire Tinba

Le code source de Tinba, réputé être le plus petit cheval de Troie bancaire en circulation, a été publié sur un forum clandestin. D’après des chercheurs, il s’agirait du code source de la version 1 de Tinba, la version originale de ce délicticiel vendu en privé, identifiée en 2012.

Tinba remplit beaucoup de fonctions malveillantes identiques à celles d’autres chevaux de Troie bancaires et s’injecte dans les processus en cours d’exécution sur la machine infectée, notamment dans le navigateur et dans explorer.exe. Ce programme malveillant vole des informations financières dont les informations d’identification des utilisateurs de système de transactions bancaires par Internet et les données de cartes de crédit. Il intègre également chaque ordinateur infecté à un réseau de zombies. La communication entre les machines infectées et les serveurs de commande s’opère via des canaux chiffrés. Tinba est la forme contractée de "tiny banker" (petit cheval de Troie bancaire). En effet, les chercheurs affirment qu’il ne pèse que 20 Ko environ.

Tinba est la forme contractée de "tiny banker" (petit cheval de Troie bancaire). En effet, les chercheurs affirment qu’il ne pèse que 20 Ko environ.

Les chercheurs de CSIS au Danemark ont été les premiers à identifier Tinba et la semaine dernière, ils ont repéré une publication sur un forum clandestin pour cybercriminels qui contenait une pièce jointe : le code source de Tinba. Après avoir analysé les fichiers, CSIS a identifié ce code source comme étant celui de la version un du programme malveillant. D’après eux, cette version a probablement été vendue à un moment donné de son histoire, puis elle a été modifiée et améliorée par d’autres attaquants. Bien qu’il s’agisse d’une version plus ancienne du cheval de Troie bancaire, elle fonctionne toujours parfaitement.

"Nos recherches sur ce programme malveillant et sur le groupe qui l’a développé étaient bel et bien exactes. A un moment donné en 2012, le code source de la version 1 de Tinba a été repris par de nouveaux cybercriminels et c’est précisément le code source de la version 1 qui a été dévoilé et non pas celui de la version utilisée dans les attaques actuelles” a déclaré Peter Kruse, spécialiste en sécurité chez CSIS, dans un billet.

"Le code source de Tinba divulgué est accompagné d’une documentation exhaustive et il est complet. Sa structure est bien formée et d’après nos premières analyses, le code fonctionne sans accroches et se compile sans aucun problème."

Dans un courrier électronique, Peter Kruse expliquait qu’à la différence de la première version, utilisée principalement en privé, la deuxième version suit une trajectoire totalement différente.

"Il semblerait que la deuxième version, qui introduit également des modifications au niveau du volet d’administration/de l’interface, soit vendue via des canaux fermés en tant que ‘délit en tant que service’. La deuxième version indique que le code a bien été vendu en 2012, puis retravaillé par d’autres cybercriminels" écrit-il.

La publication du code source de Tinba suit la divulgation du code sources d’autres chevaux de Troie bien plus connus et plus répandus. Ainsi, en 2011 c’est le code source de Zeus qui avait été dévoilé. Cet incident avait amené les chercheurs à s’inquiéter de l’utilisation de ce code en tant que fondation pour d’autres programmes malveillants et c’est bien ce qui s’est produit avec l’émergence de Citadel. Et en 2013, ce fut le tour du code source de Carberp, un délicticiel qui jusque là était vendu en privé pour des sommes pouvant atteindre 40 000 dollars.

Threatpost

Divulgation du code source du cheval de troie bancaire Tinba

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception