Divulgation du code source du cheval de troie bancaire Tinba

Le code source de Tinba, réputé être le plus petit cheval de Troie bancaire en circulation, a été publié sur un forum clandestin. D’après des chercheurs, il s’agirait du code source de la version 1 de Tinba, la version originale de ce délicticiel vendu en privé, identifiée en 2012.

Tinba remplit beaucoup de fonctions malveillantes identiques à celles d’autres chevaux de Troie bancaires et s’injecte dans les processus en cours d’exécution sur la machine infectée, notamment dans le navigateur et dans explorer.exe. Ce programme malveillant vole des informations financières dont les informations d’identification des utilisateurs de système de transactions bancaires par Internet et les données de cartes de crédit. Il intègre également chaque ordinateur infecté à un réseau de zombies. La communication entre les machines infectées et les serveurs de commande s’opère via des canaux chiffrés. Tinba est la forme contractée de "tiny banker" (petit cheval de Troie bancaire). En effet, les chercheurs affirment qu’il ne pèse que 20 Ko environ.

Tinba est la forme contractée de "tiny banker" (petit cheval de Troie bancaire). En effet, les chercheurs affirment qu’il ne pèse que 20 Ko environ.

Les chercheurs de CSIS au Danemark ont été les premiers à identifier Tinba et la semaine dernière, ils ont repéré une publication sur un forum clandestin pour cybercriminels qui contenait une pièce jointe : le code source de Tinba. Après avoir analysé les fichiers, CSIS a identifié ce code source comme étant celui de la version un du programme malveillant. D’après eux, cette version a probablement été vendue à un moment donné de son histoire, puis elle a été modifiée et améliorée par d’autres attaquants. Bien qu’il s’agisse d’une version plus ancienne du cheval de Troie bancaire, elle fonctionne toujours parfaitement.

"Nos recherches sur ce programme malveillant et sur le groupe qui l’a développé étaient bel et bien exactes. A un moment donné en 2012, le code source de la version 1 de Tinba a été repris par de nouveaux cybercriminels et c’est précisément le code source de la version 1 qui a été dévoilé et non pas celui de la version utilisée dans les attaques actuelles” a déclaré Peter Kruse, spécialiste en sécurité chez CSIS, dans un billet.

"Le code source de Tinba divulgué est accompagné d’une documentation exhaustive et il est complet. Sa structure est bien formée et d’après nos premières analyses, le code fonctionne sans accroches et se compile sans aucun problème."

Dans un courrier électronique, Peter Kruse expliquait qu’à la différence de la première version, utilisée principalement en privé, la deuxième version suit une trajectoire totalement différente.

"Il semblerait que la deuxième version, qui introduit également des modifications au niveau du volet d’administration/de l’interface, soit vendue via des canaux fermés en tant que ‘délit en tant que service’. La deuxième version indique que le code a bien été vendu en 2012, puis retravaillé par d’autres cybercriminels" écrit-il.

La publication du code source de Tinba suit la divulgation du code sources d’autres chevaux de Troie bien plus connus et plus répandus. Ainsi, en 2011 c’est le code source de Zeus qui avait été dévoilé. Cet incident avait amené les chercheurs à s’inquiéter de l’utilisation de ce code en tant que fondation pour d’autres programmes malveillants et c’est bien ce qui s’est produit avec l’émergence de Citadel. Et en 2013, ce fut le tour du code source de Carberp, un délicticiel qui jusque là était vendu en privé pour des sommes pouvant atteindre 40 000 dollars.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *