Malware : Tinbapore, un nouveau danger financier

2
118

Tinbapore est une évolution du malware Tinba, qui s’attaque aux institutions financières, représentant un risque sérieux de pertes financières conséquentes. Il a été découvert par le SOC (Security Operating Center) de F5 Networks.

Le malware Tinba a déjà frappé de nombreux organismes financiers par le passé, et les chercheurs de F5 Networks ont découvert fin 2015 sa nouvelle variante, baptisée Tinbapore. Développé en langage assembleur et ayant un poids record pour un tel programme malveillant (20 Ko en tout pour tout), il s’est largement fait remarqué par les experts pour sa sophistication et sa dangerosité. Son code source avait d’ailleurs été leaké sur un forum underground russe en 2014.

Des millions de dollars en jeu

Tinbapore est un malware sophistiqué, reprenant les bases de Tinba, utilisant principalement des bibliothèques du système Windows lors de son exécution (ntdll.dll, advapi32.dll, ws2_32.dll et user32.dll), dans le but d’interagir et de piéger tous les navigateurs Web d’une machine infectée afin d’intercepter les requêtes HTTP et effectuer des injections Web.

Les nouvelles versions améliorées du malware découvertes par F5 Networks utilisent un algorithme de génération de domaine (DGA, ndlr), ce qui rend le trojan bancaire beaucoup plus persistant et lui donne la possibilité de rester en activité, même après qu’un serveur de commande et de contrôle (C&C) n’ait été mis hors ligne. Tinbapore va jusqu’à créer sa propre instance du processus explorer.exe qui fonctionne en arrière-plan. Ciblant maintenant les organismes financiers de l’Asie-Pacifique, le malware est maintenant mondial et présent sur l’ensemble des continents de part le monde. Les pertes pourraient être massives…

2 Commentaires

  1. Le secteur de la finance subit des attaques informatiques en tout genre.C’est normal.C’est un secteur clé de l’économie.

Les commentaires sont fermés.