سورس کد تروجان بانکی Tinba لو رفت

۱۳۹۳/۴/۳۰اخبار و مقالات امنیت اطلاعات

سورس کد یا کد منبع کوچک‌ترین تروجان بانکی یعنی Tinba، در یک انجمن‌ زیر‌زمینی بصورت غیر رسمی منتشر گردید. محققان با بررسی این کد اعلام نمودند که این کد مربوط به اولین نسخه از این بدافزار است که در سال ۲۰۱۲ ( ۱۳۹۱) شناسایی شده بود.

Tinba بسیاری از فعالیت‌های مخرب سایر بدافزار‌های بانکی را انجام می‌دهد، این بدافزار قابلیت تزریق خودش به یک فرآیند در حال اجرا در ماشین آلوده مانند فرآیند یک مرورگر در حال اجرا یا مرورگر فایل ویندوز که به صورت explorer.exe اجرا می‌شود را دارد.

هدف اصلی این بدافزار سرقت اطلاعات محرمانه‌ی بانکی و کارت‌های اعتباری طراحی بوده و رایانه‌های آلوده را به بخشی از یک شبکه‌ی رایانه‌های فرمان‌بر تبدیل می‌کند و رایانه‌های آلوده از طریق یک کانال رمز‌شده با کارگزار فرمان‌دهی و کنترل ارتباط برقرار می‌کنند.

شایان ذکر است که بدافزار Tinba نام خود را از عبارت «Tiny Banker» گرفته و علی‌رغم قابلیت‌های ویژه‌ای که دارد تنها ۲۰ کیلو‌بایت می‌باشد.

محققان دانمارکی در آزمایشگاه CSIS نخستین‌بار هفته‌ی گذشته موفق به کشف یک پست در انجمنی غیر رسمی و زیرزمینی شدند که حاوی پیوستی با کد این بدافزار بوده استو پس از تحلیل و بررسی کد، محققان اعلام کردند که این کد مربوط به نسخه‌ی اولیه‌ی این بدافزار می‌باشد.

محققان می‌‌گویند این نسخه از بدافزار در مرحله‌ی اولیه به مجرمان سایبری فروخته شده و سپس آن‌ها با اعمال تغییراتی نسخه‌ی جدیدی را ایجاد کرده‌اند که تفاوت‌های عمده‌ای با نسخه‌ی اولیه دارد، اما مهاجمان اصلی بنا به دلایلی تصمیم به انتشار کد اولیه گرفته‌اند، کد کشف‌شده به همراه مستندات کاملی بوده است و در مرحله‌ی اولیه بدون هیچ خطایی کامپیال می‌شود و به همین دلیل محققان معتقد هستند که این نسخه از بدافزار به عنوان یک سرویس فروخته شده است و توسعه‌دهنده‌ی آن با مهاجمین ارتباط نداشته است.

در طی سال‌های اخیر، کد منبع بدافزار‌‌های زیادی در انجمن‌های زیرزمینی منتشر یا فروخته شده است، در سال ۲۰۱۱ کد منبع بدافزارهای بسیار مشهور زئوس (که خانواده ای از بدافزارها را شامل میشود) در انجمن‌های زیرزمینی منشتر شد و در همان زمان محققان و کارشناسان امنیتی اعلام کردند که انتشار کد منبع یک بدافزار خبر خوبی نیست و باعث می‌شود سایر مهاجمین با استفاده از همین کد و اعمال تغییرات، نسخه‌های جدید و خطرناک‌تری تولید کنند، که البته در مورد بدافزار زئوس این پیش‌بینی صحیح بود و چندی بعد بدافزار Citadel بر پایه‌ی کد زئوس شکل گرفت. جالب توجه است که سال گذشته نیز کد منبع بدافزار Carberp در انجمن‌های زیر‌زمینی منتشر شد، البته این بدافزار قبل از آن با قیمت ۴۰ هزار دلار به فروش می‌رسید.

منبع اصلی: threatpost.com