Troianul Tinba v3 – O amenințare cibernetică orientata mai nou spre 12 instituții financiar-bancare din România

2015/08/13
Popularitate 957

Foto:

Conform informațiilor publicate de experții IBM Security X-Force, la sfârșitul lunii Iulie 2015 a fost descoperită o versiune a troianului Tinba v3 special configurată pentru a viza un număr de 12 instituții financiar-bancare din România.

Tinba nu reprezintă o amenințare cibernetică nouă, însă noutatea constă în faptul că recent vizează 12 instituții bancare din România și are potențialul de a deveni cel mai prolific troian bancar de acest fel care vizează utilizatorii din România. Acest troian a fost prima dată descoperit la mijlocul anului 2012, iar din cauza dimensiunii reduse a fişierului, de numai 20 KB, a fost denumit și “Tiny” (mic).

Cu un an în urmă, codul sursă al troianului Tinba a fost scăpat de sub controlul grupării ce-l utiliza, fiind disponibil în surse publice, astfel că a fost preluat și modificat de diferite alte entități, apărând diferite alte versiuni, precum Tinba v2, v3 și v4.

 

Descriere

Încă de la început, Tinba a fost un troian conceput pentru colectarea de credențiale de acces la utilizatorilor la serviciile bancare și pentru capturarea traficului de rețea. Tinba v3 este cea mai utilizată versiune și există suspiciuni că este comercializată pe piața neagră de software malițios.

Tinba v3 este servit prin intermediul unor reclame malițioase (malvertising) afișate pe diferite pagini web și utilizează tehnici de mascare a URL-urilor malițioase precum “URL shortener”. Astfel, utilizatorii care accesează respectivele reclame sunt redirectați către URL-uri ce găzduiesc un kit de exploatare de vulnerabilități (exploit kit)  cunoscut ca “HanJuan EK”. Printre altele, HanJuan EK conține și exploit-uri de tip 0-day pentru Flash Player sau Internet Explorer. Odată reușită exploatarea, se instalează pe PC-urile compromise troianul Tinba v3.

 

Recomandări pentru utilizatori

CERT-RO recomandă tuturor utilizatorilor de servicii bancare online să manifeste atenție la modul de utilizare a acestora și să întreprindă următoarele măsuri de prevenție:

  • Utilizați soluții antivirus/antimalware eficiente și actualizate;
  • Actualizați sistemele de operare și aplicațiile utilizate, inclusiv Windows, suita Office, aplicațiile de navigare (browser), Adobe Reader, Flash Player și Java;
  • Nu instalați/utilizați software piratat sau care provine din surse nesigure (precum site-urile de partajare fișiere P2P);
  • Nu deschideți mesajele email venite de la surse nesigure (expeditor necunoscut, subiect și conținut suspect) și a link-urilor sau atașamentelor conținute de acestea;
  • Nu accesați reclamele web afișate pe diferite site-uri, mai ales atunci când vizitați site-uri mai puțin cunoscute;
  • Folosiți “bookmark”-uri pentru salvarea paginilor web aferente serviciilor bancare online utilizqte (pentru a reduce riscul de accesare a unor pagini false);
  • Utilizați pe cât posibil browsere special concepute pentru securizarea accesului la serviciile bancare online. Unele instituții bancare pun la dispoziție pentru descărcare astfel de browsere. De asemenea, unele soluții antivirus/antimalware includ și astfel de browsere dedicate efectuării de tranzacții bancare;
  • În cazul în care constatați că autentificarea la serviciile bancare online nu a fost reușită, inclusiv în cazul mecanismelor de autentificare OTP (one time password), nu încercați de mai multe ori. În acest caz vă recomandăm să contactați banca ce oferă serviciul respectiv.

 

Recomandări pentru instituțiile financiar-bancare

În cazul băncilor, CERT-RO recomandă următoarele:

  • Securizarea sistemelor și serviciilor bancare online prin implementarea de emcanisme de autentificare în doi pași (two-factor authentication);
  • Protejarea utilizatorilor de servicii bancare online prin utilizarea de software specializat anti-fraudă;
  • Derularea de campanii de educare și informare a utilizatorilor cu privire la modul de utilizare a serviciilor online.

 

Bibliografie

[1]. https://securityintelligence.com/tinba-trojan-sets-its-sights-on-romania/;

[2]. https://securityintelligence.com/tag/tinba/;

[3]. https://blog.malwarebytes.org/intelligence/2015/06/elusive-hanjuan-ek-caught-in-new-malvertising-campaign/;

[4]. http://www.kaspersky.com/me/viruswatchlite?page=9057.