F5 ha identificato la nuova versione del trojan bancario Tinba. Gli istituti finanziari della regione APAC rischiano milioni di dollari di perdite

Il team di ricercatori di F5 Networks ha identificato il malware Tinbapore. La minaccia è stata scoperta nel mese di novembre 2015, durante un attacco che ha messo a rischio milioni di dollari.

Tinbapore è una variante del più famoso Tinba, un banking Trojan che negli ultimi anni ha preso di mira soprattutto le istituzioni finanziarie in Europa, Medio Oriente e Africa, negli Stati Uniti e in Sud America. La versione originale del malware è scritta nel linguaggio di programmazione assembly ed è famosa per la sua dimensione ridotta (circa 20 KB comprendendo tutti i webinject e la configurazione). Il malware utilizza nella maggior parte dei casi quattro librerie di sistema durante la sua esecuzione: ntdll.dll, advapi32.dll, ws2_32.dll, and user32.dll. La sua funzionalità principale è agganciarsi a tutti i browser sulla macchina infetta in modo da intercettare le richieste HTTP ed eseguire i webinject. 

Tinbapore

Le versioni più recenti e avanzate del malware, come Tinbapore, sfruttano un DGA che rende il malware molto più persistente e gli dà la possibilità di ripristinarsi anche dopo che il server command and control (C&C) è stato disattivato. La nuova variante di Tinba, Tinbapore, ora è anche in grado di creare una propria istanza di explorer.exe che viene eseguita in background.  

Rispetto al passato, la minaccia di Tinbapore si rivolge in particolare alle istituzioni finanziarie asiatiche, in vista proprio in questi giorni, e che in precedenza rappresentavano un territorio inesplorato per Tinba. A oggi Singapore, dove si sono concentrati il 30% degli attacchi, rappresenta il paese più colpito seguito dall’Indonesia (20%).