IBM Security wskazuje na falę cyberprzestępców atakujących klientów banków w Europie od maja. Za pomocą trojana „Tinba” próbują nakłonić użytkowników bankowości internetowej do dostępu do danych dostępowych za pośrednictwem zmanipulowanych stron internetowych, a następnie ograbić ich konta. Dotyczy to użytkowników w Niemczech, Włoszech, Holandii i Polsce.

Prawie połowa ataków zaobserwowanych w maju miała miejsce w Polsce (45 proc.), a jedna piąta we Włoszech (21 proc.). W Holandii odsetek zidentyfikowanych przypadków wyniósł 10 proc., aw Niemczech 5 proc.

Po zainfekowaniu systemu Tinba przekierowuje niczego niepodejrzewających użytkowników na fałszywą stronę internetową, gdy logują się na swoje internetowe konto bankowe. To prosi o dane dostępowe w imieniu banku lub wyświetla fałszywą wiadomość, zgodnie z którą pieniądze, które najwyraźniej zostały przelane przez pomyłkę, muszą zostać jak najszybciej przelane z powrotem – oczywiście na konto cyberprzestępców.

„Nasi analitycy bezpieczeństwa odkryli tę przestępczą praktykę w maju 2015 roku i ustalili, że Tinba jest starym przyjacielem” — mówi Gerd Rademann, Business Unit Executive w IBM Security Systems DACH. „Tinba to wariant Tiny Banker odkryty w 2012 roku. Najmniejszy wówczas koń trojański na świecie pod względem rozmiaru pliku został zaprojektowany przede wszystkim do ataków na banki w USA, a teraz świętuje nieprzyjemny powrót w Europie”.

Jak wyjaśnia ekspert ds. bezpieczeństwa IBM Ori Bach w poście na blogu, niedawna kampania Tinba jest tylko jednym z wielu podobnych zagrożeń złośliwym oprogramowaniem, które rozprzestrzeniły się do Europy z USA. Cyberprzestępcy coraz częściej potrafią pokonać barierę językową i wykorzystać swoje metody do atakowania lokalnych banków. Nawet jeśli stanowi to wyzwanie dla banków, które nie zabezpieczyły jeszcze odpowiednio swoich systemów, inne mogą skorzystać na tym, że już walczyły z omawianym złośliwym oprogramowaniem gdzie indziej.

Jednak cyberprzestępcy opracowują również coraz bardziej wyrafinowane metody ukrywania swoich ataków lub ochrony botnetów, z których korzystają, przed zamknięciem. Autorzy obecnego wariantu Tinby stosują różne mechanizmy ochronne, aby zapewnić, że ich botnet pozostanie nienaruszony. Oznacza to, że polecenia i aktualizacje botów mogą być wykonywane tylko przez botmastera, który jest uwierzytelniony za pomocą klucza publicznego. Przed zaakceptowaniem nowej konfiguracji boty uwierzytelniają serwer aktualizacji. Ponadto dla każdego bota istnieje warstwa szyfrowania zależna od komputera, aby uniemożliwić badaczom bezpieczeństwa manipulowanie nią. Boty komunikują się za pomocą zakodowanych na stałe adresów URL zasobów i w razie potrzeby przełączają się na adresy utworzone przez algorytmy generowania domen.

Wskazówka: Czy znasz historię wirusów komputerowych? Sprawdź swoją wiedzę - za pomocą 15 pytań na stronie silicon.de