حملات سایبری علیه بانک‌های ژاپن و روسیه با کمک نسخه‌ی جدید تروجان بانکی Tinba

مجرمان سایبری توسعه‌دهنده‌ی تروجان بانکی Tinba بانک‌های بزرگ روسیه و ژاپن را هدف قرار داده‌اند.
مطابق گزارش‌ منتشر‌شده توسط آزمایشگاه امنیتی Dell که از یک ماه پیش در حال تحلیل بدافزار بانکی Tinba می‌باشد، تروجان Tinba علیه یکی از بزرگ‌ترین بانک‌های اروپا و دو ارائه‌دهنده‌ی سرویس‌های مالی در روسیه به کار گرفته شده است.
مشابه بسیاری از تروجان‌های بانکی، Tinba با هدف سرقت اطلاعات محرمانه‌ی بانکی به کار می‌رود. بدافزار Tinba با نام Tiny Banker هم شناخته می‌شود،‌ علت این نام‌گذاری کد بسیار سبک این تروجان است که در حدود ۲۰ کیلوبایت می‌باشد.
جزیبات بدافزار
پژوهش‌گران آزمایشگاه Dell می‌گویند در ماه اکتبر در حدود ۶۵۵ نام دامنه که انحصاراً برای این تروجان ثبت شده بود را شناسایی کرده‌اند، در کل نزدیک به ۶۳ راه برای ارتباط با کارگزار فرمان‌دهی و کنترل و ۴۳ کلید رمز‌گذاری وب‌گاه هم کشف شده است. این حجم زیرساخت نشان می‌دهد که تروجان بانکی Tinba ۲٫۰ در حال حاضر توسط دست‌کم ده گروه مختلف از مجرمان سایبری استفاده می‌شود و چند شبکه‌ی بات‌نت از این تروجان ایجاد شده است.
پژوهش‌گران به منظور بررسی بیش‌تر این بدافزار در حدود ۳۲ هزار آدرس آی‌پی آلوده را از روش Sinkhole بررسی کرده‌اند (در این روش رایانه‌های آلوده پس از این‌که شناسایی می‌شوند، پاک‌سازی نمی‌شوند، بلکه پژوهش‌گران با قطع اتصال آن‌ها به کارگزار فرمان‌دهی و کنترل اصلی، رفتار این رایانه‌های آلوده را بررسی می‌نمایند تا اطلاعات بیش‌تری از بدافزار جمع‌آوری نمایند). در حدود ٪۳۵ از آدرس‌های آی‌پی آلوده متعلق به کشور روسیه است، هم‌چنین ٪۲۲ از آدرس‌های آی‌پی متعلق به لهستان می‌باشند و کشورهای اسپانیا، آلمان و انگلیس هم دارای قربانیان زیادی هستند.
پژوهش‌گران IBM در ابتدای سال جاری میلادی گزارش دادند که تروجان بانکی Tinba کاربران زیادی در کشورهای لهستان، هلند و آلمان را آلوده کرده است. اما این اولین بار است که گزارش‌هایی حاکی از انتشار گسترده‌ی این بدافزار در روسیه به چشم می‌خورد.
هم‌چنین پژوهش‌گران Dell می‌گویند شواهدی از انتشار این بدافزار در کشور ژاپن هم وجود دارد، البته سایر کشورهای آسیایی از جمله اندونزی و مالزی نیز آلوده به این بدافزار هستند.
نسخه‌ی اولیه‌ی تروجان Tinba در ماه جولای سال ۲۰۱۴ میلادی توسعه پیدا کرده و در انجمن‌های زیرزمینی منتشر شده است. اما نسخه‌ی ۲این تروجان بسیار قدرتمند‌تر است در سال ۲۰۱۵ منتشر شده و همین نسخه موفق به آلوده کردن رایانه‌های زیادی شده است.
تروجان Tinba ۲ از راه ارسال هرزنامه منتشر می‌شود و به کمک بسته‌های سوء‌استفاده از آسیب‌پذیری‌های مهم از جمله Angler و Neutrino قربانیان را آلوده می‌کند.
این بدافزار از یک الگوریتم تولید نام دامنه یا DGA بهره می‌برد که در بازه‌های زمانی مختلف تعدادی آدرس نام دامنه‌ی جدید تولید می‌کند تا ره‌گیری فعالیت‌‌های کارگزار فرمان‌دهی و کنترل دشوار‌تر شود. هم‌چنین قربانیان به کمک رمزنگاری RSA از صحت ارتباط با کارگزار اصلی مطمئن می‌شوند و به همین دلیل استفاده از Sinkhole فقط زمانی ممکن است که کلیدهای RSA در دست‌رس باشد.
به کاربران توصیه می‌شود به منظور جلوگیری از انتشار هرچه بیش‌تر این تروجان خطرناک از باز کردن رایانامه‌های مشکوک خودداری کرده و سامانه‌‌عامل و همه‌ی نرم‌افزار‌های مورد استفاده‌ی خود را به‌روز‌رسانی نمایند تا عملکرد بسته‌های سوء‌استفاد از آسیب‌پذیری‌ها مختل شود و امکان نصب تروجان در سامانه‌ها به پایین‌تر حد ممکن برسد.

منبع: asis