Исследователи в области безопасности из CSIS Security Group обнаружили новый банковский троян Tinba, который собирает конфиденциальные данные пользователей, перехватывая трафик. Однако отличительной особенностью этой вредоносной программы является ее размер, который составляет всего 20 килобайт.
Несмотря на столь небольшие размеры банковский троян Tinba, также известный как Zusy, по функционалу ничем не уступает своим известным предшественникам. Попав на компьютер жертвы, он прописывается в обозревателе и, перехватив трафик, собирает конфиденциальные данные. Среди них могут оказаться как коды авторизации операций (TAN, transaction authentication number), коды двухфакторной аутентификации, так и другие важные данные.
Специалисты отмечают, что троян снабжен довольно изощренными механизмами обхода антивирусной защиты, поэтому обнаружить его довольно сложно. После установки он создает свой процесс Version Reporter Applet (winvert.exe), который хранится в системной папке операционной системы. Помимо этого он внедряется в такие процессы как svchost и explorer. А для захвата трафика он внедряется в адресное пространство программ, к примеру, iexplorer.exe и получает доступ к управлению приложением. Для связи со своими контрольно-командными серверами троян использует четыре домена, которые служат своеобразной страховкой при возможном отключении одного из них.
Как пояснил Питер Круз партнер и специалист в области безопасности компании CSIS, примечательным является то, что Tinba изменяет заголовки X-FRAME-Options таким образом, что безопасное соединение с внешними серверами или вебсайтами по HTTPS становится открытым. Основной целью трояна являются ресурсы финансовых учреждений, но, в отличие от аналогов, список его целей очень ограничен.
