Pesquisa de Ameaças

Trojan bancário Tiny Banker oculto em ferramenta da Sysinternals

Lisandro Carmona de Souza, 13 Setembro 2015

Trojan bancário Tiny Banker oculto em ferramenta da Sysinternals

Trojan bancário Tiny Banker espalha-se em anexos de emails



O trojan bancário Tiny Banker (também chamado de Tinba) ficou famoso por atingir clientes bancários de todo o mundo. O Laboratório de Vírus do Avast analisou o malware pela primeira vez quando ele atingiu a República Checa no artigo Tinybanker Trojan targets banking customers. Não levou muito tempo para que o malware se espalhasse por todo o mundo e atacasse clientes de vários bancos como o Bank of America, Wells Fargo e RBC Royal Bank, que foram motivo para que escrevêssemos novamente um artigo chamado Tiny Banker Trojan targets customers of major banks worldwide.


Desta vez, vamos escrever sobre uma campanha cujo alvo foram instituições financeiras da Polônia. O trojan é disseminado em anexos de emails que deveriam ser figuras. Exemplos dos cabeçalhos destes emails são mostrados na seguinte imagem.


email


Na verdade, há arquivos executáveis nos anexos (.zip): IMG-0084(JPEG).JPEG.exe, fotka 1.jpeg.exe. A coisa interessante é que o executável se parece à ferramenta WinObj da Systernals. No entanto, há diferenças: a versão original da WinObj tem uma assinatura digital válida. O malware não possui nenhuma assinatura digital.


De qualquer forma, a diferença mais significativa é no código que substitui o original. Tudo é igual até que um VA 0x414923 é atingido no código e então a parte maliciosa substitui a original, como pode ser visto na imagem abaixo.


Binary comparison


Há algumas modificações no Tiny Banker que incluem truques para evitar que seja descoberto, contudo a criptografia utilizada continua sendo a RC4 com uma senha embutida.


RC4 password


Utilizando o algoritmo RC4 com a senha embutida, conseguimos obter o arquivo de configuração do Tiny Banker.


RC4 Passwordconfig


O arquivo de configuração nos forneceu informações sobre as instituições financeiras que foram alvo do ataque na Polônia:

  • Bank Zachodni WBK
  • Bank Pekao
  • BOS Bank
  • BGZ GNP Paribas
  • eurobank
  • GBSBank
  • mBank
  • Toyota Bank
  • Spóldzielcza Grupa Bankowa
  • ...




SHA256
C49EEF5967E6A4A76AEA1950FD298206371B12CD2E00D478270F44B49BB5F157
FA394A41F1BB686AF7D71E9983E1C3C3340FDE70E0D9752D9927DA809B93C920


Detecções do Avast


Os usuários do Avast estão protegidos pelas seguintes detecções de vírus:
Win32:Kryptik-PMD [Trj]
Win32:Kryptik-PME [Trj]

Conclusão




Malware que se espalha por email é algo muito comum. Os autores do malware utilizam o Tiny Banker para atingir vários clientes de instituições financeiras em todo o mundo. Eles utilizam um arquivo executável com código malicioso.


Agradecimentos: esta análise foi feita por David Fiser e Jaromir Horejsi.


Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.