Suchen

Kleiner aber leistungsfähiger Schadcode Banking-Trojaner Tinba umfasst nur 20 Kilobyte

| Redakteur: Stephan Augsten

Mit Tinba alias Zusy ist ein neuer Banking-Trojaner in Umlauf, der sich in den Browser einnistet. Das Besondere an der Malware: Obwohl oder gerade weil der Schadcode nur 20 Kilobyte groß ist, arbeitet er besonders effektiv.

Firma zum Thema

Der Banking-Trojaner Tinba injiziert sich unter anderem in Browser-Prozesse.
Der Banking-Trojaner Tinba injiziert sich unter anderem in Browser-Prozesse.

Malware-Analysten der dänischen CSIS Security Group A/S warnen vor dem neuen Banking-Trojaner Tinba, der für Man-in-the-Browser-Attacken verwendet wird. Der Schadcode setzt sich also direkt im Browser fest, um Multi-Faktor-Authentifizierungen zu umgehen und sensible Informationen wie Kreditkartendaten zu stehlen.

Für Interesse unter Sicherheitsspezialisten sorgt der Schadcode vor allem deshalb, weil er gerade einmal 20 Kilobyte umfasst. Daher rührt auch der Name Tinba (Kurzform für „Tiny Banker“). Nichtsdestotrotz handelt es sich um einen vollwertigen Trojaner, der über Konfigurations- sowie Webinject-Möglichkeiten verfügt und weder gepackt noch verschlüsselt wurde.

Allein der Größe wegen kann es sein, dass der Code beim Antivirus-Scan durchrutscht. Denn aus Performance-Gründen prüft manch eine Antiviren-Software standardmäßig nur Dateien ab einer bestimmten Größe. Um die Erkennung zusätzlich zu erschweren, nutzt Tinba eine verworrene, nur schwer nachvollziehbare Injektionsroutine.

Wie Tinba das System infiltiriert

Der Trojaner reserviert einen Teil des Arbeitsspeichers und legt den Injektionscode darin ab. Gleichzeitig erstellt er im Windows-Systemordner eine neue, bis zu diesem Zeitpunkt nicht als schädlich einzustufende Instanz des winver.exe-Prozesses (Version Reporter Applet). Diese wird erst nachträglich durch die Injektionsroutine infiziert. Tinba injiziert sich darüber hinaus in die Windows-Prozesse explorer.exe und svchost.exe.

Tinba nutzt die vier Laufzeitbibliotheken ntdll.dll, advapi32.dll, ws2_32.dll und user32.dll. Seine Hauptkomponenten kopiert er nach „[%Benutzerordner%]\Application Data\Default“. Dort finden sich anschließend die Datei bin.exe sowie die verschlüsselte Konfigurationsdatei cfg.dat und die Webinject-Datei web.dat.

Aus diesen Dateien bezieht der Schadcode seine Einstellungen, nachdem er sich in Browser-Prozesse wie iexplore.exe oder firefox.exe eingenistet hat. Anschließend ist Tinba dazu in der Lage, den Datenverkehr auszulesen und zu manipulieren. Selbst vor den X-Frame-Options, die Webseiten vor eingebundenen, bösartigen Drittanbieter-Inhalten schützen sollen, macht die Injektionsroutine nicht Halt.

Für die Kommunikation mit ihren (vier fest hinterlegten) Command-and-Control-Servern verwendet die Malware einen RC4-Verschlüsselungsalgorithmus. Updates lädt der Schadcode erst herunter, wenn ein erreichter Server bestimmte Prüfungen besteht.

(ID:34003800)