Logotipo IT Forum
IT Forum Instituto Itaqui Distrito Itaqui IT Invest
IT Forum - A Comunidade de Tecnologia se Encontra Aqui
  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • IA
  • Cibersegurança
  • Plataformas
  • ESG
  • Vídeos
  • Nossas colunas
  • Colunistas
  • Pesquisas
  • Prêmios
Revistas
  • IT Forum Líderes
  • Series
  • Histórias da TI
  • Ver todos
  • Todos os eventos
  • IT Forum Trancoso
  • IT Forum Forte
  • IT Forum Mata
  • Sobre o HIT
  • Todos os materiais
Todas as notícias Negócios Liderança CIO Carreira IA Cibersegurança Plataformas ESG Vídeos
Nossas colunas Colunistas
Pesquisas Prêmios
Revistas
Todos os videocasts E agora, TI? Entre Tech IT Forum Líderes Series
Todos os eventos Trancoso
Todos os materiais Todos os materiais
  1. Home
  2. Notícias
  3. Cibersegurança
  4. Tinba: conheça o que está por trás desse trojan bancário

Tinba: conheça o que está por trás desse trojan bancário

BlackBerry Cylance dissecou e analisou o malware, que atinge computadores com Windows desde 2012

Publicado:
23/03/2019 às 09:14
Leitura
5 minutos

O Tinba (também conhecido por Tina ou Zusy), que significa Tiny Banker, ou pequeno banqueiro, é um Trojan bancário que tem como alvo, desde 2012, os computadores Windows. É um malware pequeno e famoso, com uma base de código de 20 kB. Ele é projetado especificamente para atingir instituições financeiras. O Tinba rouba dados de navegação, credenciais de login e outras informações confidenciais usando ataques de Man-in-the-Browser (MitB).

O Tinba executa injeções de código nos processos em execução para se esconder e alcançar a persistência. Em 2014, o código-fonte do Tinba vazou em um fórum clandestino de cibercrime, dando aos atores de ameaças acesso mundial a esse poderoso malware. A BlackBerry Cylance indicou o que está por trás desse malware e apresentou uma análise sobre ele.

Análise do Tinba

A análise da BlackBerry Cylance do Tinba foi realizada nos seguintes hashes:

·         E7C0B1BD0DB584D82E3D77F283467C899656075189183B5A8F8431C458E60321;

·         0283798A83AA597BF15ED5A59C21E68D66F6789B2ACABBE87DCA9C089608B893;

·         83C2B35F72749433E76B16F25A1CA9715B55AA280FB5D158389EAFD17CD0D392.

Recursos do código

As variantes do Tinba analisadas pela empresa têm o nome do produto/projeto Dealhoya. Elas são compiladas com o Visual Basic 6, que requer que o tempo de execução do VB6 seja processado. Essas variantes tentam se camuflar como um jogo em flash. A descrição do arquivo é “game em flash Lucknow é a capital do estado de Uttar” e o nome do arquivo é FergusGamez.exe.

Fiel à sua reputação, os arquivos Tinba são minúsculos, cada um com menos de 100 kB. Os arquivos de malware são altamente ofuscados, como mostra a Figura 1:

https://s7d2.scene7.com/is/image/cylance/fig1-tinba?&wid=615&fit=constrain,1 

Código ofuscado do Tinba

Técnica de evasão

O Tinba pode detectar e evitar ambientes virtuais, chamando as seguintes APIs do Windows:

•         GetDiskFreeSpaceExW;

•         GlobalMemoryStatusEx;

•         GetAdaptersAddresses.

O Tinba também monitora a atividade do usuário na janela ativa, chamando GetForegroundWindow. Essas funções permitem que o malware avalie se a plataforma é um ambiente de análise, como sandbox ou depurador.

Injeção do código

Quando o Tinba é executado, ele cria outro processo de si mesmo. Esse segundo processo lança um aplicativo legítimo do Windows chamado winver.exe e injeta o código malicioso nele. Winver.exe é o programa padrão para exibir informações da versão do Windows.

O código injetado verifica a presença do explorer.exe, encontrando a janela com o nome da classe Shell_TrayWnd. Se encontrado, o malware tentará injetar o código secundário no explorer.exe. O código secundário também injeta o código principal do Tinba em todos os processos ativos. Quando bem-sucedido, esse ataque resulta em dez ou mais processos injetados, executando o Tinba em seus threads.

https://s7d2.scene7.com/is/image/cylance/fig2-tinba?&wid=488&fit=constrain,1
Figura 2: Fluxo de execução do Tinba

Lançando o arquivo EXE

O explorer.exe infectado serve como processo principal do Tinba. Ele desativa bin.exe em %AppData% e adiciona a seguinte chave RUN para obter persistência:

Chave do Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\(sequência aleatória)

Valor do registro: %AppData%\(sequência aleatória)\bin.exe

A sequência aleatória é de oito caracteres alfanuméricos ([0-9A-Z] {8} na expressão regular) que são exclusivos para cada máquina infectada. Bin.exe é a versão polimórfica do Tinba, o que significa que o hash do arquivo é diferente para cada infecção. O malware também cria diretórios usando a sequência aleatória e define o atributo oculto:

•         %AppData%\Local\Pacotes\windows_ie_ac_001\AC\(cadeia aleatória);

•         % AppData%\LocalLow\(cadeia aleatória);

•         % AppData%\(cadeia aleatória).

Comunicação de comando e controle (C2)

O Tinba se conecta ao servidor C2 para postar os 157 bytes de informações criptografadas do sistema usando o método HTTP POST:

•         URL C2: hxxp://recdataoneveter[.]cc/vet7sdfh678sdjjs7er0k /

•         Endereço IP resolvido por DNS: 216[.]218[.]185[.]162

https://s7d2.scene7.com/is/image/cylance/fig3-tinba?&wid=1041&fit=constrain,1

  Protocolo C2 do Tinba

Algumas variantes do Tinba usam domínios DGA (Domain Generation Algorithm). Esse processo usa um domínio codificado permanentemente como semente para gerar domínios DGA de vida curta que ofusquem as comunicações C2. O Tinba também usa domínios Fast Flux, nos quais o endereço IP alocado é alterado com frequência. No caso acima, o servidor não estava disponível no momento de nossa investigação porque foi removido.

Quando a conexão C2 é bem-sucedida, o Tinba faz o download de cargas úteis adicionais, como um módulo de injeção de navegador e uma nova lista de URLs de destino bancário. Ele também instala todas as atualizações pendentes.

MITB para roubar credenciais de contas bancárias

O explorer.exe infectado procura o Internet Explorer e o Firefox para que o Tinba possa usar os ataques Man-in-the-Browser (MitB) para roubar as informações da conta bancária. O Tinba tem como alvo contas relacionadas a instituições financeiras, Google, Facebook e Microsoft. O código malicioso injetado no navegador monitorará as informações de credenciais à medida que elas forem inseridas nas páginas de login ou roubadas do cache do navegador. O Tinba criptografa os dados roubados com o algoritmo RC4 e os envia para o servidor C2.

Seta para cima
Mais lidas
Notícias

SonicWall supera metas após um ano com atuação independente

8 anos atrás

1
Computerworld Brasil

TIM e Huawei firmam parceria para centro de inovação no Brasil

11 anos atrás

2
Notícias

Kassab institui comitês de governança digital e segurança da informação

9 anos atrás

3
Computerworld Brasil

Indra faz oferta pública para aquisição da Tecnocom

10 anos atrás

4
CIO

Como a hiperconvergência pode apoiar a gestão do rápido crescimento de dados?

6 anos atrás

5
Logo IT Forum
Newsletter
As melhores notícias de tecnologia B2B em primeira mão
Acompanhe todas as novidades diretamente na sua caixa de entrada.
Instagram Linkedin Facebook Tiktok Youtube
1 / 1

Nenhum autor cadastrado para este post.

Notícias relacionadas
Ver mais Seta para direita
Notícias relacionadas
Ver mais Seta para direita
Capital cognitivo híbrido, o próximo capital das organizações
Gestão
Capital cognitivo híbrido, o próximo capital das organizações

Heriton Duarte

4 meses atrás

Dilema da IA está entre escalar produtividade e preservar confiança
Inteligência Artificial
Dilema da IA está entre escalar produtividade e preservar confiança

Déborah Oliveira

4 meses atrás

“O varejo não compete mais por canal, mas por capacidade de movimentar produtos”, diz CIO da Motz
Inteligência Artificial
“O varejo não compete mais por canal, mas por capacidade de movimentar produtos”, diz CIO da Motz

Pamela Sousa

4 meses atrás

Xerox anuncia nova estrutura global para o mercado da Print
Negócios
Xerox anuncia nova estrutura global para o mercado da Print

Redação

4 meses atrás

Conectando a tecnologia e o futuro dos negócios

Insights e inovações para líderes no IT Forum.

Conteúdos

  • Notícias
  • Colunas
  • Pesquisas
  • Series
  • Revistas
  • Videocasts
  • Eventos

Notícias

  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • Inteligência Artificial
  • Cibersegurança
  • Plataformas
  • Sustentabilidade
  • Vídeos

IT Forum

  • Sobre nós
  • Envie seu Release
  • Mídia Kit
  • Contato
  • Expediente
  • Cultura
  • Distrito Itaqui
  • Anuncie
  • Notícias
  • Colunas
  • Pesquisas
  • Series
  • Revistas
  • Videocasts
  • Eventos
  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • Inteligência Artificial
  • Cibersegurança
  • Plataformas
  • Sustentabilidade
  • Vídeos
  • Sobre nós
  • Envie seu Release
  • Mídia Kit
  • Contato
  • Expediente
  • Cultura
  • Distrito Itaqui
  • Anuncie

Logo do IT Forum
Estr. Dr. Yojiro Takaoka, 4601 - Ingahi, Itapevi - SP, 06696-050
Icone Instagram Icone Linkedin Icone Facebook Icone TikTok Icone YouTube
  • Link Política de privacidade
  • Link Fale conosco
  • Link Termos de uso
  • Link Trabalhe conosco
Copyright © 2026 IT FORUM - Todos os Direitos Reservados