Nouvelle jeunesse pour le petit Tinba

Les experts nous mettent en garde contre l’apparition d’une nouvelle version de Tinba, le plus petit des Trojan-Bankers. Dans le cadre de l’analyse d’un échantillon, des chercheurs d’IBM Trusteer ont découvert que le programme malveillant s’était doté de moyens de protection supplémentaires, dont un rootkit de mode utilisateur et une méthode de rechange pour appeler le centre de commande à l’aide de domaines créés via DGA.

Tinba est connu depuis mai 2012, lorsque la société danoise spécialisée en sécurité de l’information CSIS, a publié les résultats de l’analyse du code de ce programme. Les Danois avaient alors baptisé ce programme Tinba, abréviation de Tiny Banker (petit banker) : ce Trojan était très petit (près de 20 Ko), ne possédait qu’un arsenal limité de fonctions et sa liste de cibles n’était pas très longue. En juillet dernier, le code source de Tinba a été diffusé sur Internet et l’apparition d’une nouvelle modification ne fut pas vraiment surprenante.

D’après Trusteer, la nouvelle version du programme malveillant se propage en plusieurs variantes. La liste des cibles qui l’intéresse s’est agrandie, tout comme sa répartition géographique qui inclut désormais les Etats-Unis et le Canada.

En cas d’absence de réaction du centre de commande repris dans le code, Tinba exécute un algorithme DGA, un mécanisme complémentaire de communication avec le centre de commande utilisé de nos jours par de nombreux programmes malveillants, notamment de la catégorie Banker, comme ZeuS/Gameover.

La version actualisée de Tinba vérifie également l’authenticité du centre de commande à l’aide du module Windows standard cypt32.dll. Lorsqu’il lance la procédure d’authentification par "requête-réponse", le programme malveillant envoie au serveur des éléments d’horodatage réunis dans une ligne (nombre de cycles de l’unité centrale depuis le redémarrage). Grâce à cela, chaque appel est unique et en cas de substitution du centre de commande, l’interception d’une requête ne suffira pas à garantir la réussite de l’opération. Trusteer indique également qu’en cas d’échec de l’authentification, la procédure sera répétée à l’infini et en cas de réussite, Tinba continue à réaliser des vérifications, en augmentant progressivement l’intervalle.

Il est intéressant de voir qu’à la différence de toutes les versions antérieures, le nouveau banker est capable de lancer une attaque en l’absence de communication avec le serveur de commande. Si le navigateur est lancé et que le programme malveillant n’a pas encore eu le temps de télécharger le fichier de configuration, il utilise les données contenues dans le code.

La nouvelle version de Tinba est également capable de changer les injections Web au vol et de les adapter à différents systèmes de banque électronique car il utilise l’infrastructure ATSEngine, à l’instar de ZeuS/Citadel et ZeuS-VM. Il insère les éléments requis dans la page et active les Javascript définis dans la configuration qui se trouvent sur des ressources externes. Après avoir obtenu les informations souhaitées à l’aide de l’injection (type de carte, code de vérification de son authenticité, code PIN, numéro d’assurance), l’individu malintentionné peut retirer l’argent du compte de la victime à l’aide d’une attaque traditionnelle de type "homme dans le navigateur".

Source :        Security Intelligence

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *