Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Банков троянец TCLBANKER

Банков троянец TCLBANKER

До Mezo през Мобилен зловреден софтуер, Банков троянски конг
Превод на:

Изследователи по киберсигурност откриха недокументиран досега бразилски банков троянски кон, известен като TCLBANKER, високотехнологичен щам на зловреден софтуер, предназначен да атакува 59 банкови, финтех и криптовалутни платформи. Кампанията в момента се проследява под името REF3076 и се смята, че представлява значителна еволюция на скандалното семейство зловреден софтуер Maverick, което преди това е било свързвано с клъстера от заплахи Water Saci.

TCLBANKER разширява по-ранните методи за атака, като интегрира усъвършенствани механизми за анти-анализ, скрито фокусирано доставяне на полезен товар и възможности за широкомащабно разпространение чрез компрометирани комуникационни платформи.

Скрита верига за заразяване, създадена за избягване

Атаката започва със злонамерен ZIP архив, съдържащ MSI инсталатор, който злоупотребява с легитимно подписано приложение на Logitech, наречено Logi AI Prompt Builder. Чрез странично зареждане на DLL, злонамереният софтуер принуждава надеждното приложение да зареди злонамерена библиотека, наречена „screen_retriever_plugin.dll“, която действа като основен зареждащ файл.

Този зареждащ механизъм включва обширна подсистема за наблюдение, специално проектирана да избягва откриване. Той непрекъснато сканира за среди за сигурност и анализ, включително дебъгери, антивирусни продукти, дизасемблер, пясъчник и инструменти за измерване. Изпълнението продължава само когато DLL файлът е стартиран от одобрени процеси като „logiaipromptbuilder.exe“ или „tclloader.exe“, като последният вероятно е свързан с вътрешно тестване.

За да избегне допълнително наблюдение на сигурността, зловредният софтуер премахва куките на потребителския режим, поставени в „ntdll.dll“ от решения за защита на крайни точки, и деактивира телеметрията на Event Tracing for Windows (ETW). Той също така създава множество системни пръстови отпечатъци въз основа на проверки за отстраняване на грешки, откриване на виртуализация, информация за диска и езикови настройки на операционната система. Тези пръстови отпечатъци генерират хеш на средата, използван за декриптиране на вградения полезен товар.

Зловредният софтуер проверява специално дали целевата система използва бразилски португалски. Всяка индикация за отстраняване на грешки или анализ води до неправилна хеш стойност, предотвратявайки успешното декриптиране на полезния товар и спирайки изпълнението изцяло.

Възможности на банков троянски кон, предназначени за пълен контрол над системата

След като антианализните проверки приключат, основният банков троянски кон се внедрява. След като потвърди, че системата принадлежи на бразилски потребител, зловредният софтуер установява постоянство чрез планирани задачи и се свързва с външен сървър за командване и контрол, използвайки HTTP POST заявки, съдържащи системна информация.

TCLBANKER включва функционалност за самоактуализиране и активно следи активността на браузъра, като извлича URL адреси от адресната лента на браузъра на преден план чрез техники за автоматизация на потребителския интерфейс. Зловредният софтуер е насочен към широко използвани браузъри, включително:

  • Google Chrome
  • Мозила Файърфокс
  • Microsoft Edge
  • Смел
  • Опера
  • Вивалди

Когато бъде открит наблюдаван банков или криптовалутен уебсайт, TCLBANKER отваря WebSocket връзка с отдалечен сървър и влиза в цикъл на изпълнение на команди. Това позволява на атакуващите дистанционно да извършват широк спектър от злонамерени дейности, включително системно разузнаване, манипулиране на клипборда, кейлогинг, заснемане на екранни снимки, стрийминг на екрана, дистанционно управление на мишката и клавиатурата, управление на процеси и внедряване на фалшиви наслагвания за събиране на идентификационни данни.

Разширено социално инженерство и кражба на идентификационни данни

TCLBANKER разчита в голяма степен на социално инженерство, за да краде чувствителна информация. Зловредният софтуер използва базирана на Windows Presentation Foundation (WPF) рамка за наслагване на цял екран, способна да показва изключително убедителни фишинг интерфейси. Тези наслагвания имитират легитимни банкови подкани, фалшиви актуализации на Windows, ленти за напредък и гласови фишинг екрани за чакане, предназначени да манипулират жертвите да разкрият идентификационни данни.

Забележително е, че наслагванията са скрити от помощните програми за заснемане на екрана, което значително затруднява откриването и криминалистичния анализ.

WhatsApp и Outlook се превърнаха в инструменти за разпространение на зловреден софтуер

Наред с банковия троянски кон, зловредният софтуер внедрява и компонент за вируси, отговорен за разпространението на инфекцията в голям мащаб чрез WhatsApp Web и Microsoft Outlook. Модулът на WhatsApp отвлича удостоверени сесии на браузъра и използва проекта с отворен код WPPConnect, за да автоматизира доставката на съобщения до контактите на жертвите. За да подобри ефективността на насочването, зловредният софтуер филтрира групови чатове, списъци за излъчване и телефонни номера, различни от бразилски.

Компонентът на Outlook функционира като фишинг спамбот, като злоупотребява с инсталираното на жертвата приложение Microsoft Outlook, за да разпространява злонамерени имейли директно от собствения адрес на жертвата. Тъй като тези съобщения произхождат от легитимни акаунти и надеждна инфраструктура, традиционните филтри за спам и системите за сигурност, базирани на репутация, трудно откриват злонамерената дейност.

Според съобщенията, зловредният софтуер може да изпраща спам до 3000 контакта, използвайки компрометирани сесии на WhatsApp и акаунти в Outlook, като драстично увеличава обхвата на кампанията, като същевременно експлоатира съществуващите доверителни отношения между жертвите и техните контакти.

Признаци на разширяващ се пейзаж на заплахите

Изследователите смятат, че REF3076 все още е в ранните си оперативни етапи. Доказателства като пътища за регистриране на грешки, незавършена фишинг инфраструктура и имена на тестови процеси предполагат, че операторите продължават да усъвършенстват и разширяват кампанията.

TCLBANKER също така подчертава бързата еволюция, която се случва в екосистемата от зловреден софтуер в бразилската банка. Техники, които някога са били свързвани само с високотехнологични злонамерени лица, сега се появяват в операциите по киберпрестъпления, свързани със стоки. Тези възможности включват:

  • Дешифриране на полезен товар, базирано на средата
  • Генериране на директно системно повикване
  • Социално инженерство в реално време, управлявано от WebSocket
  • Разпространение на доверени съобщения чрез отвлечени комуникационни платформи

Чрез злоупотреба с легитимни сесии на WhatsApp и Outlook, TCLBANKER ефективно заобикаля много конвенционални защити. Кампанията демонстрира как съвременните банкови троянски коне все по-често съчетават усъвършенствани техники за стелт, автоматизация и социално инженерство, за да създадат високоустойчиви и мащабируеми киберпрестъпни операции.

Тенденция

Нова версия на имейл измамата с интерфейса на...

Фишинг, Спам
Неочакваните имейли, които изискват спешни действия, винаги трябва да се третират с повишено внимание, особено когато включват проверка на акаунт, подобрения на сигурността или спиране на услуги. Киберпрестъпниците често използват страха и неотложността, за да манипулират получателите и да ги накарат да разкрият чувствителна информация. Имейл кампанията „Нова версия на интерфейса на пощенската...

ICloud Storage Full Email Scam

Фишинг, Спам
Неочакваните имейли, в които се твърди, че даден акаунт е изложен на риск или изисква спешни действия, винаги трябва да се третират с повишено внимание. Киберпрестъпниците често се представят за надеждни марки и онлайн услуги, за да манипулират получателите да кликнат върху злонамерени връзки, да разкрият чувствителна информация или да изтеглят опасни файлове. Така наречените имейли „iCloud...

Най-гледан

Зареждане...