Infos

Nouvelle jeunesse pour le petit Tinba

Les experts nous mettent en garde contre l’apparition d’une nouvelle version de Tinba, le plus petit des Trojan-Bankers. Dans le cadre de l’analyse d’un échantillon, des chercheurs d’IBM Trusteer ont découvert que le programme malveillant s’était doté de moyens de protection supplémentaires, dont un rootkit de mode utilisateur et une méthode de rechange pour appeler le centre de commande à l’aide de domaines créés via DGA.

Tinba est connu depuis mai 2012, lorsque la société danoise spécialisée en sécurité de l’information CSIS, a publié les résultats de l’analyse du code de ce programme. Les Danois avaient alors baptisé ce programme Tinba, abréviation de Tiny Banker (petit banker) : ce Trojan était très petit (près de 20 Ko), ne possédait qu’un arsenal limité de fonctions et sa liste de cibles n’était pas très longue. En juillet dernier, le code source de Tinba a été diffusé sur Internet et l’apparition d’une nouvelle modification ne fut pas vraiment surprenante.

D’après Trusteer, la nouvelle version du programme malveillant se propage en plusieurs variantes. La liste des cibles qui l’intéresse s’est agrandie, tout comme sa répartition géographique qui inclut désormais les Etats-Unis et le Canada.

En cas d’absence de réaction du centre de commande repris dans le code, Tinba exécute un algorithme DGA, un mécanisme complémentaire de communication avec le centre de commande utilisé de nos jours par de nombreux programmes malveillants, notamment de la catégorie Banker, comme ZeuS/Gameover.

La version actualisée de Tinba vérifie également l’authenticité du centre de commande à l’aide du module Windows standard cypt32.dll. Lorsqu’il lance la procédure d’authentification par "requête-réponse", le programme malveillant envoie au serveur des éléments d’horodatage réunis dans une ligne (nombre de cycles de l’unité centrale depuis le redémarrage). Grâce à cela, chaque appel est unique et en cas de substitution du centre de commande, l’interception d’une requête ne suffira pas à garantir la réussite de l’opération. Trusteer indique également qu’en cas d’échec de l’authentification, la procédure sera répétée à l’infini et en cas de réussite, Tinba continue à réaliser des vérifications, en augmentant progressivement l’intervalle.

Il est intéressant de voir qu’à la différence de toutes les versions antérieures, le nouveau banker est capable de lancer une attaque en l’absence de communication avec le serveur de commande. Si le navigateur est lancé et que le programme malveillant n’a pas encore eu le temps de télécharger le fichier de configuration, il utilise les données contenues dans le code.

La nouvelle version de Tinba est également capable de changer les injections Web au vol et de les adapter à différents systèmes de banque électronique car il utilise l’infrastructure ATSEngine, à l’instar de ZeuS/Citadel et ZeuS-VM. Il insère les éléments requis dans la page et active les Javascript définis dans la configuration qui se trouvent sur des ressources externes. Après avoir obtenu les informations souhaitées à l’aide de l’injection (type de carte, code de vérification de son authenticité, code PIN, numéro d’assurance), l’individu malintentionné peut retirer l’argent du compte de la victime à l’aide d’une attaque traditionnelle de type "homme dans le navigateur".

Source :        Security Intelligence

Nouvelle jeunesse pour le petit Tinba

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception