Klein-Tinba reloaded

Experten warnen vor dem Erscheinen einer neuen Version des kleinen Bank-Trojaners Tinba. Im Laufe der Analyse eines Samples entdeckten die Fachleute von IBM Trusteer, dass sich der Schädling eine Reihe zusätzlicher Mechanismen zum Selbstschutz angeeignet hat, unter anderem auch ein Rootkit im Anwendermodus und ein Reservesystem zum Aufruf des С&C mit Hilfe von mittels DGA generierten Domains.

Von der Existenz der Tinba-Malware erfuhr die Internet-Gemeinde erstmals im Mai 2012, als die Ergebnisse einer Analyse des Codes veröffentlicht wurden, die das dänische IT-Sicherheitsunternehmen CSIS durchgeführt hatte. Der Name, auf den die Dänen den neuen Banker damals tauften, ist eine Abkürzung der Wortverbindung Tiny Banker, „winziger Banker“: Der Trojaner ist rekordverdächtig klein (um die 20 KB), verfügt über eine überschaubare Auswahl an Funktionen und eine überaus eingeschränkte Liste von Zielen. Im vergangenen Juli sickerte der Quellcode von Tinba ins Netz durch, und das Erscheinen einer neuen Modifikation kam daher keineswegs unerwartet.

Nach Angaben von Trusteer wird der neu aufgetauchte Schädling über verschiedene Wege verbreitet, die Liste der ins Visier genommenen Ziele wurde deutlich erweitert, ebenso wie deren Geografie, die nun auch die USA und Kanada umfasst.

Kommt aus dem in den Code geschriebenen Steuerungszentrum keine Reaktion, so setzt Tinba den DGA-Algorithmus in Gang – ein zusätzlicher Mechanismus für die Kommunikation mit dem C&C, den viele moderne Schädlinge nutzen, unter anderem auch Bank-Trojaner, wie etwa ZeuS/Gameover.

Die aktualisierte Tinba-Malware überprüft nun auch die Echtheit seines Befehlsgebers und verwendet zu diesem Zweck das vorhandene Modul Windows crypt32.dll. Indem er eine „Anfrage-Antwort“-Authentifizierung initiiert, sendet der Schädling in einer Zeile zusammengefasste Zeitmarken (Zahl der Prozessorzyklen seit dem Neustart). Dadurch wird jeder Aufruf einmalig und im Fall eines C&C-Austauschs ist das Abfangen einer Anfrage für den Erfolg nicht ausreichend. Trusteer merkt zudem an, dass die Prozedur bei fehlgeschlagener Authentifikation immer und immer wieder wiederholt wird, und Tinba im Erfolgsfall eine weitere Prüfung durchführt und das Intervall dabei nach und nach verkürzt.

Bemerkenswert ist, dass der neue Banker im Gegensatz zu allen vorhergehenden Versionen in der Lage ist, sogar ohne Verbindung zum C&C-Server eine Angriff durchzuführen. Wenn der Browser läuft, und der Schädling es noch nicht geschafft hat, die Konfigurationsdatei herunterzuladen, verwendet er die in den Code geschriebenen Daten.

Der neue Tinba kann zudem die Web-Einschleusungen im Fluge ändern und sie an die verschiedenen Online-Banking-Systeme anpassen, da er – ähnlich wie ZeuS/Citadel und ZeuS-VM – die Infrastruktur ATSEngine verwendet. Er schleust die notwendigen Elemente in die Seiten, aktiviert das durch die Konfiguration vorgegebene Javascript, das auf externen Ressourcen platziert ist. Nachdem er mit Hilfe der Einschleusung die gesuchten Informationen erhalten hat – wie z.B. Kreditkartentyp, Prüfungscode, Gültigkeitsdauer, PIN-Code, Versicherungsnummer – erhält ein Cyberkrimineller die Möglichkeit, Mittel vom Konto seines Opfers mit Hilfe einer gewöhnlichen MitB-Attacke abzuziehen.

Quelle:        Security Intelligence

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.