Tinba: conheça o que está por trás desse trojan bancário

O Tinba (também conhecido por Tina ou Zusy), que significa Tiny Banker, ou pequeno banqueiro, é um Trojan bancário que tem como alvo, desde 2012, os computadores Windows. É um malware pequeno e famoso, com uma base de código de 20 kB. Ele é projetado especificamente para atingir instituições financeiras. O Tinba rouba dados de navegação, credenciais de login e outras informações confidenciais usando ataques de Man-in-the-Browser (MitB).

O Tinba executa injeções de código nos processos em execução para se esconder e alcançar a persistência. Em 2014, o código-fonte do Tinba vazou em um fórum clandestino de cibercrime, dando aos atores de ameaças acesso mundial a esse poderoso malware. A BlackBerry Cylance indicou o que está por trás desse malware e apresentou uma análise sobre ele.

Análise do Tinba

A análise da BlackBerry Cylance do Tinba foi realizada nos seguintes hashes:

·         E7C0B1BD0DB584D82E3D77F283467C899656075189183B5A8F8431C458E60321;

·         0283798A83AA597BF15ED5A59C21E68D66F6789B2ACABBE87DCA9C089608B893;

·         83C2B35F72749433E76B16F25A1CA9715B55AA280FB5D158389EAFD17CD0D392.

Recursos do código

As variantes do Tinba analisadas pela empresa têm o nome do produto/projeto Dealhoya. Elas são compiladas com o Visual Basic 6, que requer que o tempo de execução do VB6 seja processado. Essas variantes tentam se camuflar como um jogo em flash. A descrição do arquivo é “game em flash Lucknow é a capital do estado de Uttar” e o nome do arquivo é FergusGamez.exe.

Fiel à sua reputação, os arquivos Tinba são minúsculos, cada um com menos de 100 kB. Os arquivos de malware são altamente ofuscados, como mostra a Figura 1:

Código ofuscado do Tinba

Técnica de evasão

O Tinba pode detectar e evitar ambientes virtuais, chamando as seguintes APIs do Windows:

•         GetDiskFreeSpaceExW;

•         GlobalMemoryStatusEx;

•         GetAdaptersAddresses.

O Tinba também monitora a atividade do usuário na janela ativa, chamando GetForegroundWindow. Essas funções permitem que o malware avalie se a plataforma é um ambiente de análise, como sandbox ou depurador.

Injeção do código

Quando o Tinba é executado, ele cria outro processo de si mesmo. Esse segundo processo lança um aplicativo legítimo do Windows chamado winver.exe e injeta o código malicioso nele. Winver.exe é o programa padrão para exibir informações da versão do Windows.

O código injetado verifica a presença do explorer.exe, encontrando a janela com o nome da classe Shell_TrayWnd. Se encontrado, o malware tentará injetar o código secundário no explorer.exe. O código secundário também injeta o código principal do Tinba em todos os processos ativos. Quando bem-sucedido, esse ataque resulta em dez ou mais processos injetados, executando o Tinba em seus threads.

Figura 2: Fluxo de execução do Tinba

Lançando o arquivo EXE

O explorer.exe infectado serve como processo principal do Tinba. Ele desativa bin.exe em %AppData% e adiciona a seguinte chave RUN para obter persistência:

Chave do Registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\(sequência aleatória)

Valor do registro: %AppData%\(sequência aleatória)\bin.exe

A sequência aleatória é de oito caracteres alfanuméricos ([0-9A-Z] {8} na expressão regular) que são exclusivos para cada máquina infectada. Bin.exe é a versão polimórfica do Tinba, o que significa que o hash do arquivo é diferente para cada infecção. O malware também cria diretórios usando a sequência aleatória e define o atributo oculto:

•         %AppData%\Local\Pacotes\windows_ie_ac_001\AC\(cadeia aleatória);

•         % AppData%\LocalLow\(cadeia aleatória);

•         % AppData%\(cadeia aleatória).

Comunicação de comando e controle (C2)

O Tinba se conecta ao servidor C2 para postar os 157 bytes de informações criptografadas do sistema usando o método HTTP POST:

•         URL C2: hxxp://recdataoneveter[.]cc/vet7sdfh678sdjjs7er0k /

•         Endereço IP resolvido por DNS: 216[.]218[.]185[.]162

  Protocolo C2 do Tinba

Algumas variantes do Tinba usam domínios DGA (Domain Generation Algorithm). Esse processo usa um domínio codificado permanentemente como semente para gerar domínios DGA de vida curta que ofusquem as comunicações C2. O Tinba também usa domínios Fast Flux, nos quais o endereço IP alocado é alterado com frequência. No caso acima, o servidor não estava disponível no momento de nossa investigação porque foi removido.

Quando a conexão C2 é bem-sucedida, o Tinba faz o download de cargas úteis adicionais, como um módulo de injeção de navegador e uma nova lista de URLs de destino bancário. Ele também instala todas as atualizações pendentes.

MITB para roubar credenciais de contas bancárias

O explorer.exe infectado procura o Internet Explorer e o Firefox para que o Tinba possa usar os ataques Man-in-the-Browser (MitB) para roubar as informações da conta bancária. O Tinba tem como alvo contas relacionadas a instituições financeiras, Google, Facebook e Microsoft. O código malicioso injetado no navegador monitorará as informações de credenciais à medida que elas forem inseridas nas páginas de login ou roubadas do cache do navegador. O Tinba criptografa os dados roubados com o algoritmo RC4 e os envia para o servidor C2.