CSIS: обнаружен первый в своем роде крошечный банковский троян

По словам исследователей, новая вредоносная программа, способная похищать данные с web-сайтов финансовых организаций, в размере не превышает 20 КБ.

Компания CSIS Security Group сообщила об обнаружении нового банковского трояна, который благодяря его крошечному размеру назвали Tinba (от англ. «Tiny Banker» - крошечный банкир).

Согласно сообщению компании, Tinba представляет собой маленький троян, способный похищать банковские данные. «Tinba является наименьшей троянской программой, которую мы когда-либо видели, и относится к абсолютно новой группе вирусов, о которой мы вскоре услышим», - говорится в сообщении CSIS Security Group.

По данным экспертов, Tinba являет собой вредоносный код размером в 20 КБ, который, попадая в компьютер жертвы, не нуждается в распаковке или расшифровке.

Инфицируя систему, вирус использует четыре различные библиотеки: ntdll.dll, advapi32.dll, ws2_32.dll и user32.dll. Основные компоненты копируются в папку [%userprofile%]Application DataDefault под названием «bin.exe». Вредонос использует типичные приемы атаки «Man in The Browser» (MiTB), внедряясь в такие процессы, как iexplore.exe и firefox.exe. После успешного инфицирования системы Tinba может изменять настройки файлов конфигурации cfg.dat и web.dat, что позволяет ему контролировать трафик при помощи нескольких API интерфейсов браузера.

Интересной особенностью Tinba является его возможность модифицировать заголовки опций X-FRAME, позволяющие вредодонсу загружать элементы с небезопасных серверов или сайтов.

По данным исследователей CSIS Security Group, Tinba атакует web-сайты финансовых организаций, однако пока ограничивается небольшим количеством URL-адресов.