Trojan Bancário Teve Países da Europa como Alvo em Campanha Anterior
Além disso, uma boa parte das infecções também foi agrupada em torno da Europa. Assim, 22 por cento desses registros foram detectados e identificados na Polônia, enquanto a Espanha, Alemanha e Reino Unido também foram alvos das investidas. De acordo com os pesquisadores da IBM, uma campanha envolvendo o trojan bancário Tinba teve como alvo a Polônia, Itália, Países Baixos e Alemanha no início deste ano, mas esta é a primeira vez que o malware foi visto indo atrás de instituições financeiras russas, e de acordo com os pesquisadores, pode ser considerado uma raridade. Na sequência dessas análises e investigações, a SecureWorks afirmou que o malware como Tinba raramente tem como alvo os computadores russos, reconhecendo que o referido país é muitas vezes um "hub" para a criação de Trojans bancários invasivos e outros tipos de malware que atuam na segmentação de roubo de dinheiro. Além da Rússia e de alguns países da Europa, os pesquisadores afirmam que eles também notaram um pequeno aumento em ataques desencadeados pelo Tinba que visam bancos ou instituições financeiras cooperativas, localizadas no Japão, junto com outros países asiáticos como Indonésia e Malásia.
O código fonte para o trojan Tinba começou a fazer as suas "rondas" em julho 2014, depois que foi postado em um fórum clandestino, mas essa foi a primeira iteração do malware, uma versão que ele é aparentemente muito diferente da versão 2.0. De acordo com a SecureWorks, a última versão do malware parece ser controlada por um grupo de ameaças e é transmitida principalmente através de spam e-mail e kits exploit como Neutrino, Angler e Nuclear. O malware é multi-facetado, vem completo trazendo uma lista de nomes de domínio, chaves RSA, e solicita paths, além de ter levado a dezenas de milhares de infecções por outros tipos de malware ativos.
Utilização de DGA Sofisticado e Resistência aos Processos de Detecção e Identificação
Importante ressaltar que a versão 2.0 também utiliza um algoritmo de geração de domínio mais sofisticado, o que o torna mais resistente em termos de mitigação. A versão mais recente utiliza quatro TLDs hard-coded (domínios de nível superior) ao invés de um, para gerar 400 domínios possíveis ao invés de 1000. O malware também tem um mecanismo de assinatura RSA, que verifica se o centro de comando e controlade que estabelece comunicação com a praga é legítimo ou não. As comunicações do centro de comando e controle dependem de um algoritmo de geração de domínio (DGA), e do momento em que ele passa a verificar a legitimidade do servidor por meio de criptografia RSA, tornando Tinba 2.0 ainda mais desafiador. Como resultado, os pesquisadores estimam que Tinba 2.0 possa continuar a ser popular em um futuro previsível.
Ataques ao Site de Relacionamento Plenty of Fish (POF)
O popular site de relacionamento Plenty of Fish (POF), e a gigante australiana das telecomunicações Telstra, foram infectados por propagandas maliciosas em setembro deste ano. Os processos de infecção surgiram a partir de um servidor que gerenciava as propagandas apresentadas nos sites. Para quem não sabe, os ataques de malvertising ocorrem quando os cibercriminosos invadem as redes de propagandas e injetam código malicioso na propaganda online. Estes tipos de ataques são muito perigosos, são traiçoeiros porque os usuários não percebem que alguma coisa está errada e assim, acham que não precisam fazer nada para se livrar de um processo de infecção.
Além de tudo isso, outros sites confiáveis como o weather.com e o AOL, foram atacados da mesma forma. Nos ataques contra a Telstra e ao POF, os pesquisadores disseram que a propaganda maliciosa foi redirecionada aos usuários através do encurtador de URLs do Google para um site que infectava os usuários com o trojan bancário Tinba. E mais: a partir do momento em que foi observado esse ataque, a ocorrência foi publicada em um blog antes de que o POF percebesse o problema. Levando em conta o cronograma destes dois ataques e que a rede de propagandas envolvida na atividade maliciosa é a mesma, as chances de que o POF tenha participado desse processo de disseminação do trojan é muito elevada. Por outro lado, é importante destacar que o ataque à Telstra foi muito parecido ao do Plenty of Fish. Na ocasião do ataque, a observação feita de forma enfática foi a de que o maior grupo de risco de sofrer algum tipo de infecção são os que visitam sites em computadores com programas desatualizados do Adobe Flash, do Windows ou versões desatualizadas do navegador Internet Explorer.
Falta de Atualização de Software Facilitou Entrada do Trojan
Em face disso, esses usuários podem acabar tendo seus aparelhos infectados com o trojan bancário Tinba, que é conhecido por roubar dados bancários. O Tinba (ou Tiny Banker) se espalhou pelo mundo todo no ano passado e atingiu principalmente os bancos Wells Fargo, HSBC, Bank of America e ING Direct. O grande sucesso dos ataques dependia de um fator: de que o computador da vítima estivesse vulnerável por causa de programas desatualizados, o que facilitou bastante as atividades do trojan.
Saiba Mais:
[1] Threat Post https://threatpost.com/new-tinba-var...-banks/115257/