Il post seguente è stato tradotto per gentile concessione di S21sec.

Recentemente la nostra unità e-crime ha rilevato un nuovo trojan bancario, chiamato Tatanga , con funzioni Man in the Browser (MitB) che colpisce banche della Spagna, Regno Unito, Germania e Portogallo.

Come SpyEye è in grado di eseguire transazioni automatiche, recuperare muli da un server ed effettuare lo spoofing del saldo reale e delle operazioni bancarie degli utenti.

Il suo tasso di individuazione è molto basso e i pochi motori antivirus che sono in grado di rilevarlo forniscono risultati generici.

Il trojan in questione è piuttosto complesso. È scritto in C ++ e utilizza tecniche rootkit per nascondere la propria presenza, anche se a volte i suoi file sono visibili. Il trojan scarica un certo numero di moduli cifrati (DLL), che vengono decifrati in memoria quando vengono iniettati nel browser, o altri processi per evitare il rilevamento da parte di software antivirus. I moduli sono i seguenti:

• ModEmailGrabber : Raccoglie gli indirizzi e-mail
• Coredb : Gestisce la configurazione del trojan. Il file corrispondente è cifrato con algoritmo 3DES.
• Comm Support Library : Questo modulo implementa la cifratura della comunicazione tra il trojan e il pannello di controllo.
• File Patcher : La funzione di questo modulo non è ancora chiara. Si sospetta che sia responsabile della diffusione nelle cartelle di contenuti multimediali, file zippati o eseguibili.
• ModMalwareRemover : Utilizzato per la rimozione di altre famiglie di malware, tra cui Zeus.

  

• ModBlockAVTraffic : Blocca l’applicazione antivirus installata nel sistema
• ModDynamicInjection : relativo alle HTML injection

I nomi dei moduli ModEmailGrabber e ModMalwareRemover potrebbero essere stati utilizzati in un bot nel 2008, quindi, probabilmente, sono il risultato dell’evoluzione di quel malware.

Come altri trojan di questo tipo, utilizzano un file di configurazione cifrato. Questo file è in formato XML e ha un elemento per ciascun paese interessato. Il codice per ciascun paese è codificato e ha il seguente formato:

^^monitorized_url1~~monitorized_url2||code_replaced_in_legit_webpage||code_to_replace_for

A seconda della banca presa di mira, il trojan può catturare le credenziali passivamente, o spingersi oltre per effettuare la transazione fraudolenta nella sessione utente. In alcuni casi le credenziali richieste includono la chiave mobile OTP e hanno successo grazie a un buon social engineering presente nelle loro injection:

Sette siti web compromessi sono hardcoded e agiscono come proxy nei confronti del pannello di controllo reale. Le loro funzioni spaziano dall’invio di dati, alla notifica delle infezioni e a ottenere conti money mules. Il formato degli URL è il seguente:

http://hacked_site.com/com/m.php?f=module.dll
http://hacked_site.com/com/c.php italic;”>
http://hacked_site.com/com/d.php italic;”>
http://control_panel/srvpnl/upload/module.dll

Questo malware colpisce otto browser, in pratica quasi tutti gli utenti Windows:

• Internet Explorer
• Mozilla Firefox
• Google Chrome
• Opera
• MinefieldMaxthoon
• Netscape
• Safari
• Konqueror

Alcune funzionalità aggiuntive del trojan:

• supporto 64-bit: nei sistemi a 32-bit si inietta in explore.exe ed è eseguito come un normale processo nei sistemi a 64 bit
• Tecniche Anti-VM e anti-debugging
• Dump delle pagine di online banking e successivo invio al server, probabilmente al fine di migliorare il codice iniettato
• Algoritmo di cifratura debole nella comunicazione basata su C&C con operazioni XOR.
• Comandi accettati dalla C&C:
  modinfo, softstat, cmd, stopos, startos, reboot, winkill, die, instsoft, proclist, clearcookies, setlevel, kill
• Funzioni per impedire che venga scaricato Trusteer Rapport

Abbiamo notato molti commenti e funzioni di test, probabilmente, quindi, potrebbe essere solo un test per migliorarne le funzionalità prima della diffusione. Stay tuned!

Jozsef Gegeny & Jose Miguel Esparza S21sec e-crime

Fonte: Tatanga: a new banking trojan with MitB functions
Recently our e-crime unit has detected a new banking trojan, named as Tatanga, with Man in the Browser (MitB) functions affecting banks in Spain, United Kingdom, Germany and Portugal.

Like SpyEye, it can perform automatic transactions, retrieving the mules from a server and spoofing the real balance and banking operations of the users.

Its detection rate is very low, and the few antivirus engines that can detect it yield a generic result.

The trojan in question is rather sophisticated. It is written in C++ and uses rootkit techniques to conceal its presence, though on occasion, its files are visible. The trojan downloads a number of encrypted modules (DLLs), which are decrypted in memory when injected to the browser or other processes to avoid detection by antivirus software. The modules are the following:

• ModEmailGrabber: It gathers e-mail addresses.
• Coredb: It manages the trojan’s configuration. The corresponding file is encrypted with the algorithm 3DES.
• Comm Support Library: This module implements the encryption of the communication between the trojan and the control panel.
• File Patcher: The function of this module is not clear yet. It is suspected that it is in charge of the propagation across folders containing multimedia, zipped or executable files.
• ModMalwareRemover: Used in the removal of other malware families, including Zeus.

  

• ModBlockAVTraffic: It blocks the antivirus application installed in the system.
• ModDynamicInjection: Related to HTML injections

The modules names ModEmailGrabber and ModMalwareRemover might have been used in a bot in 2008, so maybe this is the result of the evolution of that malware.

Like other trojans of this kind, it uses an encrypted configuration file. This file is in XML format and has a element for each affected country. The code for each country is encoded and has the following format:

^^monitorized_url1~~monitorized_url2||code_replaced_in_legit_webpage||code_to_replace_for

Depending on the targeted bank, the trojan can passively grab the credentials or ask for more in order to make the fraudulent transaction in the user session. In some cases the requested credentials include the OTP mobile key and they success thanks to a good social engineering in their injections:

Seven compromised web sites are hardcoded and act as proxys to the real control panel. Their functions range from data sending to notifying infections and obtaining money mules’ accounts. The format of the URLs are the following:

http://hacked_site.com/com/m.php?f=module.dll
http://hacked_site.com/com/c.php
http://hacked_site.com/com/d.php
http://control_panel/srvpnl/upload/module.dll

This malware affects eight browsers, covering almost all Windows users:

• Internet Explorer
• Mozilla Firefox
• Google Chrome
• Opera
• MinefieldMaxthoon
• Netscape
• Safari
• Konqueror

Some additional functionalities of the trojan:

• 64-bit support: it injects into explore.exe in 32-bit systems and it’s executed as a normal process in 64-bit systems.
• Anti-VM and anti-debugging techniques
• Dump online banking pages and send them to the server, probably in order to improve the injected code
• Weak encryption algorithm in the communication with the C&C based on XOR operations.
• Commands accepted from the C&C:
  modinfo, softstat, cmd, stopos, startos, reboot, winkill, die, instsoft, proclist, clearcookies, setlevel, kill
• Functions to prevent Trusteer Rapport from being downloaded

We have seen lots of comments and test functions, so maybe this is just a test to improve its functions before spreading it. Stay tuned!

Jozsef Gegeny & Jose Miguel EsparzaS21sec e-crime

Source: Tatanga: a new banking trojan with MitB functions