Trojan bankowy Tinba w nowej szacie. F5 Networks zostało pierwszą firmą, która opublikowała raport dotyczący złośliwego oprogramowania Tinbapore, odkrytego pod koniec ubiegłego roku w jednym z Centrów Bezpieczeństwa (SOC).
„Odkryty przez rozwiązanie bezpieczeństwa F5 WebSafe malware Tinbapore zagrażał tysiącom użytkowników. Jego główną funkcjonalnością jest podłączanie się do wszystkich przeglądarek na zainfekowanej maszynie, tak aby mógł przechwytywać żądania HTTP i dokonywać wstrzyknięcia kodu.” powiedział Ilan Meller, Security Operations Manager w F5 Networks.
Śledztwo ekspertów bezpieczeństwa z F5 wykazało, że Tinbapore jest nowym wariantem znanego już złośliwego oprogramowania Tinba, do tej pory atakującego instytucje finansowe w Europie, na Bliskim Wschodzie i Afryce (region EMEA) oraz w obu Amerykach. Jeszcze w czerwcu 2015 roku docierał do polskich użytkowników w spamie podszywającym się pod Pocztę Polską – przyp. AVLab.
Nowsze i ulepszone wersje Tinby wykorzystują algorytm generowania domen (ang. domain generation algorithm – DGA), który sprawia, że złośliwe oprogramowanie może nadal wysyłać wykradzione dane i przyjmować zdalne polecenia nawet po zlikwidowaniu master serwera, który nim zarządza. Nowy wariant Tinba, Tinbapore, tworzy własne instancje działającego w tle procesu explorer.exe. Różni się od poprzednich wersji tym, że aktywnie atakuje instytucje finansowe z regionu Azji i Pacyfiku (APAC), które nie były atakowane przez jego starszą wersję.
Kilka słów o F5 Networks
F5 Networks rozszerzyło ostatnio globalny zasięg swoich Centrów Bezpieczeństwa, tworząc jeden z nich w Warszawie. Został on otwarty we wrześniu 2015 i stanowi uzupełnienie dla Centrum Bezpieczeństwa znajdującego się w Seattle w Stanach Zjednoczonych.
Centrum Bezpieczeństwa znajdujące się w stołecznym Warsaw Technical Center firmy F5 i składa się z zespołu badaczy oraz analityków, którzy badają nowe ataki pojawiające się na całym świecie poprzez utrzymanie aktualnych informacji na temat najnowszych ataków z wykorzystaniem malware 0day, złośliwego oprogramowania czy phishingu, które na swoim celowniku mają globalne przedsiębiorstwa. Obecnie oferuje usługi ochrony przeciw (F5® WebSafe™) wolumetrycznym atakom DDoS.
„Za pośrednictwem Centrów Bezpieczeństwa, F5 w sposób ciągły monitoruje obszar zagrożeń związanych z nadużyciami, analizując ryzyko i trendy, które zagrażają instytucjom finansowym. Monitorujemy w czasie rzeczywistym ataki, które są przeprowadzane globalnie, informujemy klientów o zagrożeniach oraz wyłączamy np. proxy phisingowe, aby zmniejszyć uszkodzenia, które mogą spowodować.” dodaje Ilan Meller.
źródło: F5 Networks
