sobota, 25 lipca 2015

Tinba

Wstęp

Tinba to kolejny z listy Trojanów atakujących polskich klientów korzystających z bankowości internetowej. Tinba swą nazwę zawdzięcza skrótowi z pełnej nazwy Tiny Banker. 
Po raz pierwszy zaobserwowano infekcję komputerów w Turcji. Obecnie według zespołu bezpieczeństwa IBM Trusteer około 45% infekcji ma miejsce w Polsce.





Jak dochodzi do zarażenia?

Wspominałem już że obecnie 90% zarażeń jest realizowana z wykorzystaniem poczty elektronicznej. Tym razem maile przychodzą z „Poczty Polskiej” lub jako informacja o zaległych umowach. Poniżej przykład takiego maila po angielsku i po polsku. 



Do maila załączony jest plik wordowy z makrem. Uruchomienie makra powoduje pobranie i zainstalowanie złośliwego oprogramowania na naszym komputerze. 




Jak wykryć Trojana Tinba?


Obecnie mamy co najmniej dwie wersje Tinby. Pierwsza instaluje się w katalogu:

C:\Users\<uzytkownik>\AppData\Roaming\MsDtc\dwmc.exe, data.db, setc.db  

Druga wersja jak na powyższym zrzucie ekranu:
 
C:\Users\<uzytkownik>\AppData\Roaming\<losowa nazwa>\bin.exe, web.dat

Co Trojan robi? 

Trojan stosuje rożne technika ataku od socjotechnik próbujących nas przekonać byśmy sami wykonali jakieś działanie pozwalające przestępcom pozyskać nasze środki finansowe po proste modyfikowanie rachunków beneficjenta przed wysłaniem płatności do banku.
 

1 komentarz: