Archives par mot-clé : Tinbapore

Un nouveau malware qui cible les services financiers

Découverte par le SOC (Security Operating Center) de F5 Networks et détectée par les solutions de sécurité F5 WebSafe en novembre 2015, l’attaque Tinbapore représente un risque de plusieurs millions de dollars.

L’enquête des experts en sécurité de F5 révèle que Tinbapore est une nouvelle variante du malware Tinba qui avait jusqu’ici ciblé les organismes financiers en Europe, au Moyen-Orient, en Afrique (EMEA) et aux US. Le malware Tinba original a été écrit en employant la programmation en langage assembleur et s’est fait remarqué pour sa très petite taille (20 Ko avec tous les Webinjects et la configuration). Le malware utilise principalement quatre bibliothèques du système lors de l’exécution : ntdll.dll, advapi32.dll, ws2_32.dll et user32.dll. Sa principale fonctionnalité est de se raccorder à tous les navigateurs de la machine infectée afin de pouvoir intercepter les requêtes HTTP et effectuer des injections web.

Les nouvelles versions améliorées du malware utilisent un algorithme de génération de domaine (DGA – domain generation algorithm), ce qui rend le malware beaucoup plus persistant et lui donne la possibilité de revenir en activité, même après que le serveur de commande et de contrôle (C&C) soit coupé. Cette nouvelle variante de Tinba – Tinbapore – créée désormais sa propre instance explorer.exe qui fonctionne en arrière-plan. Elle diffère de la plupart des versions précédentes car elle vise activement les organismes financiers de l’Asie-Pacifique (APAC), un territoire inexploré pour Tinba.