حصان طروادة المصرفي TCLBANKER
كشف باحثو الأمن السيبراني عن حصان طروادة مصرفي برازيلي غير موثق سابقًا يُعرف باسم TCLBANKER، وهو سلالة برمجية خبيثة متطورة للغاية مصممة لاستهداف 59 منصة مصرفية وتقنية مالية وعملات مشفرة. وتُتابع هذه الحملة حاليًا تحت اسم REF3076، ويُعتقد أنها تمثل تطورًا كبيرًا لعائلة برمجيات مافريك الخبيثة سيئة السمعة، والتي كانت مرتبطة سابقًا بمجموعة تهديدات ووتر ساسي.
يتوسع برنامج TCLBANKER في أساليب الهجوم السابقة من خلال دمج آليات متقدمة مضادة للتحليل، وتوصيل الحمولة التي تركز على التخفي، وقدرات انتشار واسعة النطاق من خلال منصات الاتصالات المخترقة.
جدول المحتويات
سلسلة عدوى خفية مصممة للتهرب
يبدأ الهجوم بملف مضغوط خبيث يحتوي على مُثبِّت MSI يستغل تطبيقًا شرعيًا من Logitech يُدعى Logi AI Prompt Builder. ومن خلال تحميل ملفات DLL جانبيًا، يُجبر البرنامج الخبيث التطبيق الموثوق على تحميل مكتبة خبيثة تُسمى 'screen_retriever_plugin.dll'، والتي تعمل كمُحمِّل رئيسي.
يشتمل هذا المُحمِّل على نظام مراقبة متطور مصمم خصيصًا لتجنب الكشف عنه. يقوم هذا النظام بفحص بيئات الأمان والتحليل باستمرار، بما في ذلك أدوات تصحيح الأخطاء، وبرامج مكافحة الفيروسات، وبرامج تفكيك التعليمات البرمجية، وبيئات الاختبار المعزولة، وأدوات القياس. ولا يبدأ التنفيذ إلا عند تشغيل ملف DLL بواسطة عمليات معتمدة مثل 'logiaipromptbuilder.exe' أو 'tclloader.exe'، ومن المرجح أن يكون الأخير مرتبطًا بالاختبارات الداخلية.
ولتجنب المراقبة الأمنية بشكل أكبر، يقوم البرنامج الخبيث بإزالة روابط وضع المستخدم الموجودة داخل ملف 'ntdll.dll' بواسطة حلول حماية نقاط النهاية، ويعطل خاصية تتبع الأحداث لنظام ويندوز (ETW). كما يقوم بإنشاء بصمات نظام متعددة استنادًا إلى فحوصات مكافحة التصحيح، وكشف المحاكاة الافتراضية، ومعلومات القرص، وإعدادات لغة نظام التشغيل. وتُنتج هذه البصمات تجزئة بيئية تُستخدم لفك تشفير الحمولة المضمنة.
يتحقق البرنامج الخبيث تحديدًا مما إذا كان النظام المستهدف يستخدم اللغة البرتغالية البرازيلية. أي مؤشر على وجود عملية تصحيح أو تحليل يؤدي إلى قيمة تجزئة غير صحيحة، مما يمنع فك تشفير الحمولة بنجاح ويوقف التنفيذ تمامًا.
قدرات حصان طروادة المصرفية مصممة للتحكم الكامل في النظام
بمجرد اكتمال عمليات التحقق من مكافحة التحليل، يتم نشر حصان طروادة المصرفي الرئيسي. بعد التأكد من أن النظام يعود لمستخدم برازيلي، يقوم البرنامج الخبيث بتثبيت نفسه من خلال مهام مجدولة ويتصل بخادم تحكم خارجي باستخدام طلبات HTTP POST تحتوي على معلومات النظام.
يتضمن برنامج TCLBANKER الخبيث خاصية التحديث الذاتي، ويراقب نشاط المتصفح بشكل فعال من خلال استخراج عناوين URL من شريط عناوين المتصفح المفتوح باستخدام تقنيات أتمتة واجهة المستخدم. يستهدف هذا البرنامج الخبيث متصفحات شائعة الاستخدام، بما في ذلك:
- جوجل كروم
- موزيلا فايرفوكس
- مايكروسوفت إيدج
- شجاع
- أوبرا
- فيفالدي
عند اكتشاف موقع ويب مصرفي أو موقع عملات مشفرة خاضع للمراقبة، يقوم برنامج TCLBANKER بفتح اتصال WebSocket بخادم بعيد، ويدخل في حلقة تنفيذ أوامر. يُمكّن هذا المهاجمين من تنفيذ مجموعة واسعة من الأنشطة الخبيثة عن بُعد، بما في ذلك استطلاع النظام، والتلاعب بالحافظة، وتسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، وبث الشاشة، والتحكم عن بُعد في الماوس ولوحة المفاتيح، وإدارة العمليات، ونشر طبقات وهمية لجمع بيانات الاعتماد.
الهندسة الاجتماعية المتقدمة وسرقة بيانات الاعتماد
يعتمد برنامج TCLBANKER الخبيث بشكل كبير على الهندسة الاجتماعية لسرقة المعلومات الحساسة. يستخدم هذا البرنامج إطار عمل تراكب ملء الشاشة قائم على منصة Windows Presentation Foundation (WPF)، قادر على عرض واجهات تصيد احتيالي مقنعة للغاية. تحاكي هذه التراكبات مطالبات مصرفية شرعية، وتحديثات وهمية لنظام Windows، وأشرطة تقدم، وشاشات انتظار صوتية مصممة للتلاعب بالضحايا لحملهم على الكشف عن بيانات اعتمادهم.
والجدير بالذكر أن الطبقات مخفية عن أدوات التقاط الشاشة، مما يجعل الكشف والتحليل الجنائي أكثر صعوبة بشكل كبير.
تحوّل تطبيق واتساب وأوتلوك إلى أدوات لتوزيع البرامج الضارة
إلى جانب حصان طروادة المصرفي، يقوم برنامج التحميل بنشر مكون دودة مسؤول عن نشر العدوى على نطاق واسع عبر كل من واتساب ويب ومايكروسوفت أوتلوك. يستغل مكون واتساب جلسات المتصفح الموثقة ويستخدم مشروع WPPConnect مفتوح المصدر لأتمتة إرسال الرسائل إلى جهات اتصال الضحايا. ولتحسين كفاءة الاستهداف، يقوم البرنامج الخبيث بتصفية المحادثات الجماعية وقوائم البث وأرقام الهواتف غير البرازيلية.
يعمل مكون Outlook كبرنامج تصيد احتيالي، حيث يستغل تطبيق Microsoft Outlook المثبت على جهاز الضحية لتوزيع رسائل بريد إلكتروني خبيثة مباشرةً من عنوان بريد الضحية نفسه. ولأن هذه الرسائل تأتي من حسابات شرعية وبنية تحتية موثوقة، فإن مرشحات البريد العشوائي التقليدية وأنظمة الأمان القائمة على السمعة تجد صعوبة في اكتشاف هذا النشاط الخبيث.
وبحسب التقارير، يمكن للبرمجيات الخبيثة إرسال رسائل غير مرغوب فيها إلى ما يصل إلى 3000 جهة اتصال باستخدام جلسات واتساب وحسابات أوتلوك المخترقة، مما يزيد بشكل كبير من نطاق الحملة مع استغلال علاقات الثقة القائمة بين الضحايا وجهات اتصالهم.
مؤشرات على اتساع نطاق التهديدات
يعتقد الباحثون أن برنامج REF3076 لا يزال في مراحله التشغيلية الأولى. وتشير أدلة مثل مسارات تسجيل الأخطاء، وبنية التصيد الاحتيالي غير المكتملة، وأسماء عمليات الاختبار، إلى أن القائمين على البرنامج يواصلون تحسين الحملة وتوسيع نطاقها.
يسلط موقع TCLBANKER الضوء أيضاً على التطور السريع الذي يشهده النظام البيئي للبرمجيات الخبيثة المصرفية في البرازيل. فالتقنيات التي كانت تُنسب سابقاً إلى جهات التهديد المتطورة للغاية، أصبحت الآن تُستخدم في عمليات الجرائم الإلكترونية الشائعة. وتشمل هذه القدرات ما يلي:
- فك تشفير الحمولة بناءً على البيئة
- توليد استدعاءات النظام المباشرة
- الهندسة الاجتماعية في الوقت الفعلي باستخدام WebSocket
- نشر الرسائل الموثوقة عبر منصات الاتصال المخترقة
من خلال استغلال جلسات واتساب وأوتلوك المشروعة، يتجاوز برنامج TCLBANKER بفعالية العديد من وسائل الحماية الأمنية التقليدية. تُظهر هذه الحملة كيف تُدمج برامج التجسس المصرفية الحديثة بشكل متزايد تقنيات التخفي المتقدمة والأتمتة والهندسة الاجتماعية لإنشاء عمليات إجرامية إلكترونية شديدة المرونة وقابلة للتوسع.
