一款广为人知的银行木马Tinba自源代码被泄后,在过去的五年中不断困扰着用户。
一份来自F5Labs的报告指出,Tinba的第五个版本Tinbapore开始蔓延至还未大展拳脚的亚太地区。相比较此前四个版本,Tinbapore并未太多变化。它通过垃圾邮件感染用户,并且利用一个后门来获取重启权限。从受害者处扫描并收集数据后,它会启动跟命令和服务控制器的会话,随后劫持用户浏览器。
只要用户访问在线银行门户网站或者网络支付系统,这款恶意软件就会利用网络注入技巧在页面中插入恶意JS代码,并且收集用户凭证和其它金融信息。随后这些数据就会备用油欺诈交易中。
超过一半的攻击位于亚太地区
Tinbapore跟之前版本的不同之处在于使用域名生成算法来让安全研究人员更难追踪命令和控制服务器和在操作系统后台运行的单独exploer.exe进程。研究人员表示,传播这款恶意软件的域名源自俄罗斯。此外,多数攻击目标位于新加坡(30%)、其次为印尼(20%)、马来西亚(5%)。
不过亚太地区并未遭受攻击的唯一区域,这款恶意软件同时还针对欧洲、中东和非洲地区(EMEA)和美洲地区发动攻击。不过很显然攻击的主要目标是位于亚太地区的金融机构。