Home  >  Segurança

Tinba: conheça o que está por trás desse trojan bancário

BlackBerry Cylance dissecou e analisou o malware, que atinge computadores com Windows desde 2012

Da Redação

23/03/2019 às 9h14

Foto: Shutterstock

O Tinba (também conhecido por Tina ou Zusy), que significa Tiny Banker, ou pequeno banqueiro, é um Trojan bancário que tem como alvo, desde 2012, os computadores Windows. É um malware pequeno e famoso, com uma base de código de 20 kB. Ele é projetado especificamente para atingir instituições financeiras. O Tinba rouba dados de navegação, credenciais de login e outras informações confidenciais usando ataques de Man-in-the-Browser (MitB).

O Tinba executa injeções de código nos processos em execução para se esconder e alcançar a persistência. Em 2014, o código-fonte do Tinba vazou em um fórum clandestino de cibercrime, dando aos atores de ameaças acesso mundial a esse poderoso malware. A BlackBerry Cylance indicou o que está por trás desse malware e apresentou uma análise sobre ele.

Análise do Tinba

A análise da BlackBerry Cylance do Tinba foi realizada nos seguintes hashes:

·         E7C0B1BD0DB584D82E3D77F283467C899656075189183B5A8F8431C458E60321;

·         0283798A83AA597BF15ED5A59C21E68D66F6789B2ACABBE87DCA9C089608B893;

·         83C2B35F72749433E76B16F25A1CA9715B55AA280FB5D158389EAFD17CD0D392.

Recursos do código

As variantes do Tinba analisadas pela empresa têm o nome do produto/projeto Dealhoya. Elas são compiladas com o Visual Basic 6, que requer que o tempo de execução do VB6 seja processado. Essas variantes tentam se camuflar como um jogo em flash. A descrição do arquivo é “game em flash Lucknow é a capital do estado de Uttar” e o nome do arquivo é FergusGamez.exe.

Fiel à sua reputação, os arquivos Tinba são minúsculos, cada um com menos de 100 kB. Os arquivos de malware são altamente ofuscados, como mostra a Figura 1:

https://s7d2.scene7.com/is/image/cylance/fig1-tinba?&wid=615&fit=constrain,1 

Código ofuscado do Tinba

Técnica de evasão

O Tinba pode detectar e evitar ambientes virtuais, chamando as seguintes APIs do Windows:

•         GetDiskFreeSpaceExW;

•         GlobalMemoryStatusEx;

•         GetAdaptersAddresses.

O Tinba também monitora a atividade do usuário na janela ativa, chamando GetForegroundWindow. Essas funções permitem que o malware avalie se a plataforma é um ambiente de análise, como sandbox ou depurador.

Injeção do código

Quando o Tinba é executado, ele cria outro processo de si mesmo. Esse segundo processo lança um aplicativo legítimo do Windows chamado winver.exe e injeta o código malicioso nele. Winver.exe é o programa padrão para exibir informações da versão do Windows.

O código injetado verifica a presença do explorer.exe, encontrando a janela com o nome da classe Shell_TrayWnd. Se encontrado, o malware tentará injetar o código secundário no explorer.exe. O código secundário também injeta o código principal do Tinba em todos os processos ativos. Quando bem-sucedido, esse ataque resulta em dez ou mais processos injetados, executando o Tinba em seus threads.

https://s7d2.scene7.com/is/image/cylance/fig2-tinba?&wid=488&fit=constrain,1
Figura 2: Fluxo de execução do Tinba

Lançando o arquivo EXE

O explorer.exe infectado serve como processo principal do Tinba. Ele desativa bin.exe em %AppData% e adiciona a seguinte chave RUN para obter persistência:

Chave do Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\(sequência aleatória)

Valor do registro: %AppData%\(sequência aleatória)\bin.exe

A sequência aleatória é de oito caracteres alfanuméricos ([0-9A-Z] {8} na expressão regular) que são exclusivos para cada máquina infectada. Bin.exe é a versão polimórfica do Tinba, o que significa que o hash do arquivo é diferente para cada infecção. O malware também cria diretórios usando a sequência aleatória e define o atributo oculto:

•         %AppData%\Local\Pacotes\windows_ie_ac_001\AC\(cadeia aleatória);

•         % AppData%\LocalLow\(cadeia aleatória);

•         % AppData%\(cadeia aleatória).

Comunicação de comando e controle (C2)

O Tinba se conecta ao servidor C2 para postar os 157 bytes de informações criptografadas do sistema usando o método HTTP POST:

•         URL C2: hxxp://recdataoneveter[.]cc/vet7sdfh678sdjjs7er0k /

•         Endereço IP resolvido por DNS: 216[.]218[.]185[.]162