آشنایی با بدافزار بانکی ۲۰ کیلوبایتی

بانک‌های کشورهای شرق آسیا ازجمله سنگاپور و اندونزی به بدافزار ۲۰KB تینبا آلوده‌ شده‌اند. نسخه پنجم تینبا آخرین نسخه از این بدافزار است که بنگاه‌های اقتصادی را آلوده کرده است.

تینبا اولین بار در سال ۲۰۱۲ مشاهده شد و در سال ۲۰۱۴ کدهای منبع آن در بازار سیاه هکرها به فروش رسید. هم‌اکنون تینبا کم‌حجم‌ترین بدافزار فعال نام‌ گرفته است.

محققان امنیتی F۵ آخرین نسخه تینبا را به دلیل حمله به کشورهای شرق آسیا تینباپور (Tinbapore) نام نهاده‌اند. حدود ۳۰ درصد از سامانه‌های آلوده در سنگاپور و ۲۰ درصد هم در اندونزی شناسایی شده‌اند.

آخرین نسخه تینبا دارای تابع ایجاد دامنه است که باعث طول عمر بیشتر آن حتی پس از خاموشی سرور C&C می‌شود. هم‌چنین در نسخه جدید نمونه‌ای از explorer.exe ایجاد می‌شود که در پس‌زمینه به‌صورت خودکار فعالیت می‌کند. 

بدافزار فایل‌های زیر را در Application Data ایجاد می‌کند:

فایل‌های Log.dat و nft.dat که به‌منظور ذخیره اطلاعات سامانه آلوده استفاده می‌شود. این فایل‌های رمزشده هستند.

فایل bin.exe که عامل اجرای بدافزار در هنگام بوت سامانه است.

فایل web.dat که دستورهای مخرب برای تزریق به مرورگر کاربر در آن ذخیره می‌شود. این تنظیمات از سرور C&C دریافت می‌شود.

منبع:گرداب