Der unscheinbare Banking-Trojaner Tinba ist weltweit zurück
Tinba, ein vergleichsweise kleiner, dafür aber sehr effizienter Trojaner, ist zurückgekehrt. Wie schon bei früheren Kampagnen versuchen Kriminelle mit der Malware, an die Daten von Bankkunden zu kommen. Über Drive-by-Infektionen gelangt der Schadcode dabei auf die Rechner.
Als Tinba zum ersten Mal auftauchte, richteten sich seine Spionage-Aktivitäten gegen Kunden einer kleineren Gruppe von Banken aus den USA. Die nun eingesetzte überarbeitete Variante setzt schon auf ein größeres Spektrum. Insgesamt werden die Kunden von 26 Finanzinstituten ins Visier genommen, von denen die meisten noch immer aus den USA und Kanada stammen, einige aber auch aus Europa und Australien, teilte das Security-Unternehmen Avast mit.
Sicherheits-Forscher konnten dabei beobachten, wie Tinba mit der Zeit immer weiterentwickelt und optimiert wurde. Dabei ging es den Programmierern des Schädlings in erster Linie darum, jeweils neue Schutzmechanismen erneut zu umgehen und den Trojaner besser zu tarnen. Ein wichtiges Ereignis bei der Beobachtung der Malware war es daher, als vor einigen Monaten der damals aktuellste Quellcode komplett in Untergrund-Foren veröffentlicht wurde.
Die Sourcen sind seitdem vermutlich noch einmal weiterentwickelt worden, doch ist die Analyse des Trojaners so immer noch einfacher, als wenn nur die Binaries zur Verfügung ständen. Nach den Erkenntnissen hinsichtlich der neuesten Variante weiß man nun immerhin schon, dass Tinba mit dem Exploit-Kit "Rig" verbreitet wird. Dieses enthält Routinen, die Sicherheitslücken in den Browser-Plugins Flash und Silverlight ausnutzen, um Malware auf einen Rechner zu bringen, wenn dessen Nutzer eine infizierte Webseite aufruft.
Der nur rund 20 Kilobyte große Trojaner versteckt sich dann auf dem System und wartet erst einmal ab. Aktiv wird er, wenn der Nutzer die Webseite einer der fraglichen Banken ansteuert. Dann klinkt sich Tinba in den Datenstrom ein und jubelt dem Anwender ein Formular unter, mit dem persönliche Informationen und Zugangsdaten abgefragt werden. Diese werden dann an die Angreifer geschickt, die so Zugang zum jeweiligen Konto erhalten. Aktuell gehaltene Virenscanner verschiedener Anbieter sollten den Trojaner zum aktuellen Zeitpunkt aber bereits recht sicher identifizieren und ausschalten können.
Sicherheits-Forscher konnten dabei beobachten, wie Tinba mit der Zeit immer weiterentwickelt und optimiert wurde. Dabei ging es den Programmierern des Schädlings in erster Linie darum, jeweils neue Schutzmechanismen erneut zu umgehen und den Trojaner besser zu tarnen. Ein wichtiges Ereignis bei der Beobachtung der Malware war es daher, als vor einigen Monaten der damals aktuellste Quellcode komplett in Untergrund-Foren veröffentlicht wurde.
Die Sourcen sind seitdem vermutlich noch einmal weiterentwickelt worden, doch ist die Analyse des Trojaners so immer noch einfacher, als wenn nur die Binaries zur Verfügung ständen. Nach den Erkenntnissen hinsichtlich der neuesten Variante weiß man nun immerhin schon, dass Tinba mit dem Exploit-Kit "Rig" verbreitet wird. Dieses enthält Routinen, die Sicherheitslücken in den Browser-Plugins Flash und Silverlight ausnutzen, um Malware auf einen Rechner zu bringen, wenn dessen Nutzer eine infizierte Webseite aufruft.
Der nur rund 20 Kilobyte große Trojaner versteckt sich dann auf dem System und wartet erst einmal ab. Aktiv wird er, wenn der Nutzer die Webseite einer der fraglichen Banken ansteuert. Dann klinkt sich Tinba in den Datenstrom ein und jubelt dem Anwender ein Formular unter, mit dem persönliche Informationen und Zugangsdaten abgefragt werden. Diese werden dann an die Angreifer geschickt, die so Zugang zum jeweiligen Konto erhalten. Aktuell gehaltene Virenscanner verschiedener Anbieter sollten den Trojaner zum aktuellen Zeitpunkt aber bereits recht sicher identifizieren und ausschalten können.
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - Gestern 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - Vorgestern 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - Vorgestern 11:14 Uhr -
Datenträgerverwaltung
micro300 - Vorgestern 08:52 Uhr -
KDE kommt mit Plasma 6.7
d-hubs - 18.06. 20:26 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen