작은 은행가 트로이 목마

Tinba라고도 불리는 Tiny Banker Trojan은 금융 기관의 웹사이트를 대상으로 하는 악성 프로그램입니다.그것은 뱅커 트로이 목마로 알려진 오래된 형태의 바이러스를 변형한 형태이지만 크기가 훨씬 작고 강력합니다.이 기능은 man-in-the-browser 공격과 네트워크 스니핑을 확립함으로써 동작합니다.발견된 이후, TD뱅크, 체이스, HSBC, 웰스파고, PNC, ^[1]뱅크오브아메리카를 포함한 미국의 주요 은행 기관 24개 이상을 감염시킨 것으로 밝혀졌다.계정 로그인 정보 및 은행 코드와 같은 사용자의 중요한 데이터를 도용하도록 설계되었습니다.

역사

타이니 뱅커는 터키에서 수천 대의 컴퓨터를 감염시킨 것으로 밝혀진 2012년에 처음 발견되었다.악성코드가 발견된 후 악성코드의 원본 소스코드가 온라인에 유출돼 개별 수정작업이 시작돼 해당 ^[2]기관의 탐지작업이 더 어려워졌다.그것은 같은 정보를 얻기 위해 매우 유사한 공격 방법을 가진 제우스 트로이 목마의 고도로 수정된 버전이다.그러나 틴바는 크기가 훨씬 더 작은 것으로 밝혀졌다.크기가 작을수록 멀웨어를 탐지하기가 더 어려워집니다.Tinba는 20KB로 알려진 트로이 목마보다 훨씬 작습니다.참고로 데스크톱 웹 사이트의 중간 파일 크기는 약 1,966KB입니다.^[3]

작동

Tinba는 네트워크 트래픽을 읽는 방법인 패킷 스니핑을 사용하여 사용자가 언제 은행 웹사이트를 탐색하는지 판단합니다.그런 다음 멀웨어는 변동에 따라 두 가지 작업 중 하나를 시작할 수 있습니다.가장 인기 있는 형태인 Tinba는 중간자 공격을 일으키는 웹 페이지를 장악할 것이다.트로이 목마는 HTTPS에 의해 암호화되기 전에 Form gratching을 사용하여 키 스트로크를 잡습니다.그 후 Tinba는 키 스트로크를 Command & Control로 전송합니다.이 프로세스로 인해 사용자의 정보가 도용됩니다.

Tinba가 사용한 두 번째 방법은 사용자가 웹 페이지에 로그인할 수 있도록 하는 것입니다.사용자가 접속하면 악성코드는 페이지 정보를 사용하여 회사의 로고 및 사이트 형식을 추출합니다.그런 다음 시스템에 대한 업데이트를 사용자에게 알리고 사회 보장 ^[4]번호와 같은 추가 정보를 요청하는 팝업 페이지를 만듭니다.대부분의 은행 기관들은 이러한 유형의 공격으로부터 방어하기 위한 방법으로 이 정보를 결코 요구하지 않겠다고 사용자에게 알립니다.Tinba는 이 방어에 대처하기 위해 수정되었으며 공격자가 나중에 ^[5]이 정보를 사용하여 암호를 재설정하기 위해 보안 질문으로 사용자에게 물어보는 정보 유형(예: 사용자 어머니의 처녀 성)을 묻기 시작했습니다.

또한 Tinba는 호스트 머신을 좀비, 즉 봇넷의 원치 않는 멤버로 변환하기 위해 자신을 다른 시스템 프로세스에 주입합니다.봇넷에서의 접속을 유지하기 위해 Tinba는 4개의 도메인으로 코드화되어 있기 때문에 한쪽이 다운되거나 통신이 끊기면 트로이 목마는 다른 한쪽을 ^[6]즉시 찾을 수 있습니다.

「 」를 참조해 주세요.

레퍼런스