Il Security Operations Center di F5 (SOC) di F5 Networks ha identificato il malware Tinbapore; le soluzioni di sicurezza F5 WebSafe hanno rivelato per la prima volta la minaccia nel mese di novembre 2015, durante un attacco che ha messo a rischio milioni di dollari.
Il SOC di F5 è riuscito a fermare l’attacco in tempo reale, anche se l’algoritmo di generazione di domini (DGA) utilizzato da questo malware lo rende difficile da identificare e particolarmente persistente.
Tinbapore è una variante del più famoso Tinba, un banking Trojan che negli ultimi anni ha preso di mira soprattutto le istituzioni finanziarie in Europa, Medio Oriente e Africa, negli Stati Uniti e in Sud America. La versione originale del malware è scritta nel linguaggio di programmazione assembly ed è famosa per la sua dimensione ridotta (circa 20 KB comprendendo tutti i webinject e la configurazione). Il malware utilizza nella maggior parte dei casi quattro librerie di sistema durante la sua esecuzione: ntdll.dll, advapi32.dll, ws2_32.dll, and user32.dll. La sua funzionalità principale è agganciarsi a tutti i browser sulla macchina infetta in modo da intercettare le richieste HTTP ed eseguire i webinject.
Le versioni più recenti e avanzate del malware, come Tinbapore, sfruttano un DGA che rende il malware molto più persistente e gli dà la possibilità di ripristinarsi anche dopo che il server command and control (C&C) è stato disattivato. La nuova variante di Tinba, Tinbapore, ora è anche in grado di creare una propria istanza di explorer.exe che viene eseguita in background.
Rispetto al passato, la minaccia di Tinbapore si rivolge in particolare alle istituzioni finanziarie asiatiche, in vista proprio in questi giorni, e che in precedenza rappresentavano un territorio inesplorato per Tinba. A oggi Singapore, dove si sono concentrati il 30% degli attacchi, rappresenta il paese più colpito seguito dall’Indonesia (20%).
