3# Conhecimento É Poder: Trojan bancário TinBa
O Tinba (também chamado de Tina ou Zusy), que significa Tiny Banker, ou pequeno banqueiro, é um Trojan bancário que tem como alvo, os computadores com o Sistema Operacional Windows. É um malware pequeno e famoso, com uma base de código de apenas 20kB. Ele foi desenvolvido especificamente para atingir instituições financeiras. O Tinba rouba dados de navegação, credenciais de login e outras informações confidenciais usando ataques de Man-in-the-Browser (MitB).
O Tinba executa injeções de código nos processos em execução para se esconder e alcançar seus objetivos. Em 2014, o código-fonte do Tinba vazou em um fórum clandestino de cibercrime na DeepWeb, dando aos criadores de ameaças acesso mundial a esse poderoso malware. A BlackBerry Cylance indicou o que está por trás desse malware e apresentou uma análise sobre ele.
Análise do Tinba
A análise da BlackBerry Cylance do Trojan foi realizada nos hashes a seguir:
· E7C0B1BD0DB584D82E3D77F283467C899656075189183B5A8F8431C458E60321;
· 0283798A83AA597BF15ED5A59C21E68D66F6789B2ACABBE87DCA9C089608B893;
· 83C2B35F72749433E76B16F25A1CA9715B55AA280FB5D158389EAFD17CD0D392.
Recursos do código
As variantes do Tinba analisadas pela empresa têm o nome do produto/projeto Dealhoya. Elas são compiladas com o Visual Basic 6, que requer que o tempo de execução do VB6 seja processado. Essas variantes tentam se camuflar como um jogo em flash. A descrição do arquivo é “game em flash Lucknow é a capital do estado de Uttar” e o nome do arquivo é FergusGamez.exe.
Fiel à sua reputação, os arquivos Tinba são minúsculos, cada um com menos de 100 kB. Os arquivos de malware são altamente ofuscados.
Técnica de evasão
O Tinba pode detectar e evitar ambientes virtuais, chamando as seguintes APIs do Windows:
• GetDiskFreeSpaceExW;
• GlobalMemoryStatusEx;
• GetAdaptersAddresses.
O Tinba também monitora a atividade do usuário na janela ativa, chamando GetForegroundWindow. Essas funções permitem que o malware avalie se a plataforma é um ambiente de análise, como sandbox ou depurador.
Injeção do código
Quando o Tinba é executado, ele cria outro processo de si mesmo. Esse segundo processo lança um aplicativo legítimo do Windows chamado winver.exe e injeta o código malicioso nele. Winver.exe é o programa padrão para exibir informações da versão do Windows.
O código injetado verifica a presença do explorer.exe, encontrando a janela com o nome da classe Shell_TrayWnd. Se encontrado, o malware tentará injetar o código secundário no explorer.exe. O código secundário também injeta o código principal do Tinba em todos os processos ativos. Quando bem-sucedido, esse ataque resulta em dez ou mais processos injetados, executando o Tinba em seus threads.
Lançando o arquivo EXE
O explorer.exe infectado serve como processo principal do Tinba. Ele desativa bin.exe em %AppData% e adiciona a seguinte chave RUN para obter persistência:
Chave do Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\(sequência aleatória)
Valor do registro: %AppData%\(sequência aleatória)\bin.exe
A sequência aleatória é de oito caracteres alfanuméricos ([0-9A-Z] {8} na expressão regular) que são exclusivos para cada máquina infectada. Bin.exe é a versão polimórfica do Tinba, o que significa que o hash do arquivo é diferente para cada infecção. O malware também cria diretórios usando a sequência aleatória e define o atributo oculto:
• %AppData%\Local\Pacotes\windows_ie_ac_001\AC\(cadeia aleatória);
• % AppData%\LocalLow\(cadeia aleatória);
• % AppData%\(cadeia aleatória).
Comunicação de comando e controle (C2)
O Tinba se conecta ao servidor C2 para postar os 157 bytes de informações criptografadas do sistema usando o método HTTP POST:
• URL C2: hxxp://recdataoneveter[.]cc/vet7sdfh678sdjjs7er0k /
• Endereço IP resolvido por DNS: 216[.]218[.]185[.]162
