TinyBankerバンキング型トロイの木馬のソースコードがオンラインで流出

数年前、CSISセキュリティグループの同僚は、当時知られていた最小の銀行トロイの木馬「Tiny Banker」（別名Tinba、Zusy）について最初に書いた。 作成者は書き込みにアセンブラーを使用したため、実行可能ファイルのサイズは約20KBのみです。 多くのバンキング型トロイの木馬と同様に、ブラウザにコードを挿入（インジェクト）する手法を使用し、そこに必要なAPI呼び出しをインターセプトして、フォームグラブおよびWebインジェクションメカニズム（いわゆるMan-in-the-Browser攻撃）を介して機密バンキングデータを盗みます） ESET： Win32 / Tinba 、Microsoft： Trojan：Win32 / Tinba.A 、Symantec： Trojan.Tinbaが見つかりました 。



最近、地下フォーラムの1つで、Tinbaの最初のバージョンのテキストがダウンロードできるという情報が現れました。 アーカイブには、ボットのソースコードと、攻撃者がボットの動作に関する情報を取得するために使用できるコントロールパネルが含まれています。 Tinbaは、人気のWebブラウザーであるMS Internet Explorer、Mozilla Firefox、およびGoogle Chromeに焦点を当てており、ソースコードで確認されています。





図 Tinbaボットのソースコード。 ブラウザを取得するフォームの原因となっているファイルを見ることができます。





図 クローズドフォーラムのソースに関する情報。



このような悪意のあるプログラムのソースコードを公開した結果は、攻撃者がオープンソースコードベースを使用してこのトロイの木馬の修正バージョンを作成できるため、過大評価することはほとんどできません。 昨年の夏、私たちは巨大なCarberpソースアーカイブのリークについて書きました。これに基づいて、多くの新しい悪意のあるプログラムがすでに作成されています。



これらのソースに基づくマルウェアの最初のバージョンの1つ：



SHA256：8cc5050f513ed22780d4e85857a77a1fb2a3083d792cd550089b64e1d2ef58e9

ファイルサイズ：19968バイト