Quellcode des Bank-Trojaners Tinba durchgesickert

Der Quellcode von Tinba, bekannt als der kleinste, aktuell aktive Bank-Trojaner, wurde in einem Untergrund-Forum veröffentlicht. Laut Expertenaussagen haben sich die Dateien als Quellcode der ersten Tinba-Version erwiesen, die im Jahr 2012 entdeckt wurde: Es handelt sich dabei um die Originalversion des Crimeware-Kits, das privat verkauft wurde.

Tinba verfügt über viele schädliche Funktionen, die andere Bank-Trojaner auch ausführen: Er schleust sich in laufende Prozesse auf einem infizierten Computer ein, unter anderem in den Browser und in explorer.exe. Die Malware ist für den Diebstahl von Finanzinformationen bestimmt, darunter auch Kreditkartendaten, und sie gliedert außerdem jeden infizierten Computer an ein Botnetz an. Kompromittierte Rechner kommunizieren über verschlüsselte Kanäle mit Command-und-Control-Servern. Tinba ist die Abkürzung von “tiny banker”, also „winziger Banker“, und laut Spezialisten ist er nicht größer als etwa 20 KB.

Erstmals identifiziert wurde Tinba von Forschern der dänischen CSIS-Abteilung, die letzte Woche einen Post in einem Untergrund-Forum gefunden haben, der einen Anhang mit dem Tinba-Quellcode enthielt, wie sich herausstellte. Nach einer Analyse der Dateien fand CSIS heraus, dass der Quellcode zur Version eins der Malware gehört, der nach Meinung der Experten verkauft und von anderen Angreifern modifiziert und verbessert wurde. Doch obwohl es sich hierbei um die ältere Version des Trojaners handelt, funktioniert er völlig problemlos.

“Es hat sich gezeigt, dass unsere Untersuchung dieser Malware und der Gruppe, die dahinter steht, korrekt ist. Irgendwann um das Jahr 2012 herum wurde der Quellcode der Version 1 von Tinba von anderen Cyberkriminellen übernommen, und es ist genau dieser Code der Version 1, der nun veröffentlicht wurde, und nicht der Code, der in aktuell laufenden Attacken verwendet wird”, erklärt Peter Kruse, Sicherheitsspezialist beim CSIS, in einem Post.

“Der veröffentlichte Quellcode von Tinba umfasst eine komplette Dokumentation und den vollständigen Quellcode. Er ist gut strukturiert und unsere Erstanalyse hat gezeigt, dass der Code reibungslos funktioniert und hervorragend kompiliert.”

Via E-Mail teilte Kruse mit, dass die zweite Variante im Gegensatz zu Version eins, die privat genutzt wurde, einen anderen Weg eingeschlagen hat.

“Die zweite Version, die ebenfalls eine Menge Änderungen des Panels/Interfaces beinhaltet, wird anscheinend als Service verkauft, allerdings nur über verborgene Kanäle. Die zweite Version gibt Aufschluss darüber, dass der Code tatsächlich im Jahr 2012 verkauft und dann von anderen IT-Kriminellen verändert wurde“, sagt er.

Das Posten des Tinba-Quellcodes folgt einer Reihe von Veröffentlichungen anderer, weitaus bekannterer und weiter verbreiteter Trojaner. Im Jahr 2011 wurde der Quellcode von Zeus öffentlich zugänglich gemacht, was Forscher zu der Sorge veranlasste, die Angreifer würden ihn als Grundlage für neue Kreationen nutzen, was sich schließlich in Form von Schädlingen wie Citadel auch bewahrheitet hat. Im Jahr 2013 sickerte der Quellcode für Carberp durch, einem vormals privat verkauften Crimeware-Kit, der 40.000 Dollar einbrachte.

Quelle:      Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.