Tinba

From Botnets.fr
Jump to: navigation, search

(Botnet) Link to the old Wiki page : [1] / Google search: [2]

Tinba
Alias Zutick, Gataka, Tinybanker, Zusy
Group Banking
Parent
Sibling
Family
Relations Variants:

Sibling of:
Parent of:
Distribution of:
Campaigns:

Target Microsoft Windows
Origin
Distribution vector
UserAgent
CCProtocol HTTP (Centralized)
Activity 2012-05 /
Status Actif
Language
Programming language
Operation/Working group

Introduction

Interceptor plugin

  • Création d'un proxy pour les communications Web, par injection dans le navigateur
  • Modification des fonctions de vérification des certificats SSL (pour les navigateurs Firefox, Internet Explorer, Netscape Navigator, Opera, Maxthon) pour que l'utilisateur ne voie pas que ses communications sont interceptées

NextGenFixer plugin

Webinject plugin

Injecte dans la navigation sur des sites bancaires (ou autres) des scripts et contenus HTML issus de fichiers de configuration spécifiques à chaque banque. Le format des fichiers utilisés est très similaire à celui de SpyEye. La base de données de ces scripts est chiffrée (3DES) et contenue dans le fichier \Documents and Settings\Administrator\Application Data\Help\coredb\storage. Le mot de passe serait "самый сложный ПароЛь" (littéralement "le mot de passe le plus complexe) retranscrit en ASCII donc "cfvsq ckj;ysq GfhjKm".

Dans une campagne observée par ESET, les pays visés étaient: USA, Canada, Royaume-Uni, Australie, Espagne, France, Allemagne. Il semblerait que le système de commande/panneau de contrôle derrière cette campagne soit capable de collecter des données issus de différentes sortes de malwares.

Features


Associated images

Checksums / AV databases

Publications

 AuthorEditorYear
Digging inside Tinba malware - A walkthroughAditya K SoodSecNiche2012
Say hello to Tinba: world’s smallest trojan-bankerPeter KruseCSIS2012
W32.Tinba (Tinybanker) The turkish incidentPeter KruseTrend Micro2012
Win32/Gataka - or should we say Zutick?Jean-Ian BoutinESET2012