TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Zusy / Tinba / Tiny Banker (まとめ)

概要

【辞典】

◆Tiny Banker Trojan (Wikipedia)
https://en.wikipedia.org/wiki/Tiny_Banker_Trojan

【概要】

■サンドボックス検知手段

  • GetCursorPos APIを用いてマウスの動きを確認
  • アクティブウィンドウの変化を確認
  • ディスクのシリンダー数を調査


■感染手法

  • PowerPointファイルを開くと「Loading...Please Wait(ロード中。しばらくお待ちください)」というハイパーリンクが表示
  • マウスカーソルを動かしただけでトリガーとなり、PowerShellコードが実行される
  • マウスクリックが不要

記事

【ニュース】

◆チェック・ポイントの調査で、企業ネットワークを狙うマルウェア・ファミリーの増加傾向が明らかに (SankeiBiz, 2016/07/14 10:13)
http://www.sankeibiz.jp/business/news/160714/prl1607141013032-n1.htm
https://malware-log.hatenablog.com/entry/2016/07/14/000000_1

◆銀行口座情報を盗むマルウェア「Tinba」をマクロ実行なしで感染させる新手のPowerPoint添付ファイル攻撃が発見される (Gigazine, 2017/06/08)
https://gigazine.net/news/20170608-ppt-file-tinba-huck-without-macro/
https://malware-log.hatenablog.com/entry/2017/06/08/000000_2

◆Zusy Malware: Malicious Attack Installs Via Mouseover (Attivo Networks, 2017/06/09)
https://attivonetworks.com/zusy-malware-malicious-attack-installs-via-mouseover/
https://malware-log.hatenablog.com/entry/2017/06/09/000000_5

◆「PowerPoint」のハイパーリンクを使うマルウェア登場、マウスオーバーのみで感染 (ZDNet, 2017/06/13 10:23)
https://japan.zdnet.com/article/35102631/
https://malware-log.hatenablog.com/entry/2017/06/13/000000


【ブログ】

◆Tinba:もう1つの対サンドボックス手段 (エフセキュアブログ, 2015/05/06 15:46)
http://blog.f-secure.jp/archives/50747839.html
https://malware-log.hatenablog.com/entry/2016/05/06/000000

◆Tinba―銀行の認証情報をハッカーに送り込む巧妙なボットネット (Fortinet, 2015/05/14)
https://archives2011-2018.fortinet.co.jp/security_blog/150514-tinba.html
https://malware-log.hatenablog.com/entry/2015/05/14/000000_5

◆マウスオーバとマクロを利用、PowerPoint文書閲覧時に感染させる攻撃手法に注意 (Trendmicro, 2017/06/19)
https://blog.trendmicro.co.jp/archives/15257
https://malware-log.hatenablog.com/entry/2017/06/19/000000_3

◆脅威のスポットライト:ブラックベリーサイランス vs. Tinba バンキングトロイ (Cylance, 2019/03/26)
https://www.cylance.com/ja_jp/blog/jp-blackberry-cylance-vs-tinba-banking-trojan.html
https://malware-log.hatenablog.com/entry/2019/03/26/000000_9

◆Beware of malware Zusy! (Reason Blog, 2020/07/20)
[マルウェアZusyにご用心!]
https://blog.reasonsecurity.com/2020/07/20/beware-of-malware-zusy/
https://malware-log.hatenablog.com/entry/2020/07/20/000000_12

その他

【履歴】
2020/08/17 TinbaとZusy の情報を統合

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020