Tinba
(Botnet) Link to the old Wiki page : [1] / Google search: [2]
Tinba | |
---|---|
Alias | Zutick, Gataka, Tinybanker, Zusy |
Group | Banking |
Parent | |
Sibling | |
Family | |
Relations | Variants: Sibling of: |
Target | Microsoft Windows |
Origin | |
Distribution vector | |
UserAgent | |
CCProtocol | HTTP (Centralized) |
Activity | 2012-05 / |
Status | Actif |
Language | |
Programming language | |
Operation/Working group |
Introduction
Interceptor plugin
- Création d'un proxy pour les communications Web, par injection dans le navigateur
- Modification des fonctions de vérification des certificats SSL (pour les navigateurs Firefox, Internet Explorer, Netscape Navigator, Opera, Maxthon) pour que l'utilisateur ne voie pas que ses communications sont interceptées
NextGenFixer plugin
Webinject plugin
Injecte dans la navigation sur des sites bancaires (ou autres) des scripts et contenus HTML issus de fichiers de configuration spécifiques à chaque banque. Le format des fichiers utilisés est très similaire à celui de SpyEye. La base de données de ces scripts est chiffrée (3DES) et contenue dans le fichier \Documents and Settings\Administrator\Application Data\Help\coredb\storage. Le mot de passe serait "самый сложный ПароЛь" (littéralement "le mot de passe le plus complexe) retranscrit en ASCII donc "cfvsq ckj;ysq GfhjKm".
Dans une campagne observée par ESET, les pays visés étaient: USA, Canada, Royaume-Uni, Australie, Espagne, France, Allemagne. Il semblerait que le système de commande/panneau de contrôle derrière cette campagne soit capable de collecter des données issus de différentes sortes de malwares.
Features
Associated images
Checksums / AV databases
- Trend Micro: TSPY_TINBA