Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Troià bancari TCLBANKER

Troià bancari TCLBANKER

El Mezo el Programari maliciós mòbil, Troià bancari
Traduir a:

Investigadors de ciberseguretat han descobert un troià bancari brasiler indocumentat prèviament conegut com a TCLBANKER, una soca de programari maliciós altament avançada dissenyada per atacar 59 plataformes bancàries, fintech i criptomonedes. Actualment, la campanya es rastreja amb el nom REF3076 i es creu que representa una evolució significativa de la coneguda família de programari maliciós Maverick, anteriorment associada amb el clúster d'amenaces Water Saci.

TCLBANKER amplia els mètodes d'atac anteriors integrant mecanismes avançats d'antianàlisi, lliurament de càrrega útil centrat en la furtivitat i capacitats de propagació a gran escala a través de plataformes de comunicació compromeses.

Una cadena d’infecció furtiva construïda per a l’evasió

L'atac comença amb un arxiu ZIP maliciós que conté un instal·lador MSI que fa un ús abusiu d'una aplicació Logitech signada legítimament anomenada Logi AI Prompt Builder. Mitjançant la càrrega lateral de DLL, el programari maliciós obliga l'aplicació de confiança a carregar una biblioteca maliciosa anomenada "screen_retriever_plugin.dll", que actua com a carregador principal.

Aquest carregador incorpora un extens subsistema de vigilància dissenyat específicament per evadir la detecció. Analitza contínuament entorns de seguretat i anàlisi, inclosos depuradors, productes antivirus, desmuntadors, sandboxes i eines d'instrumentació. L'execució només continua quan la DLL s'inicia mitjançant processos aprovats com ara "logiaipromptbuilder.exe" o "tclloader.exe", aquest últim probablement vinculat a proves internes.

Per evitar encara més la supervisió de seguretat, el programari maliciós elimina els ganxos del mode d'usuari col·locats dins de 'ntdll.dll' per les solucions de protecció de punts finals i desactiva la telemetria de Seguiment d'Events per a Windows (ETW). També crea múltiples empremtes digitals del sistema basades en comprovacions antidepuració, detecció de virtualització, informació del disc i configuració d'idioma del sistema operatiu. Aquestes empremtes digitals generen un hash d'entorn que s'utilitza per desxifrar la càrrega útil incrustada.

El programari maliciós valida específicament si el sistema objectiu utilitza el portuguès brasiler. Qualsevol indicació de depuració o anàlisi resulta en un valor hash incorrecte, cosa que impedeix el desxifratge correcte de la càrrega útil i atura completament l'execució.

Capacitats de troià bancari dissenyades per a un control total del sistema

Un cop finalitzades les comprovacions antianàlisi, es desplega el troià bancari principal. Després de confirmar que el sistema pertany a un usuari brasiler, el programari maliciós estableix persistència mitjançant tasques programades i contacta amb un servidor extern de comandament i control mitjançant sol·licituds HTTP POST que contenen informació del sistema.

TCLBANKER inclou la funcionalitat d'autoactualització i supervisa activament l'activitat del navegador extraient URL de la barra d'adreces del navegador en primer pla mitjançant tècniques d'automatització de la interfície d'usuari. El programari maliciós té com a objectiu els navegadors més utilitzats, com ara:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Valent
  • Òpera
  • Vivaldi

Quan es detecta un lloc web bancari o de criptomoneda monitoritzat, TCLBANKER obre una connexió WebSocket a un servidor remot i entra en un bucle d'execució d'ordres. Això permet als atacants dur a terme de forma remota una àmplia gamma d'activitats malicioses, com ara el reconeixement del sistema, la manipulació del porta-retalls, el registre de teclats, la captura de captures de pantalla, la transmissió de pantalla, el control remot del ratolí i el teclat, la gestió de processos i el desplegament de superposicions falses de recol·lecció de credencials.

Enginyeria social avançada i robatori de credencials

TCLBANKER es basa en gran mesura en l'enginyeria social per robar informació confidencial. El programari maliciós utilitza un marc de superposició de pantalla completa basat en Windows Presentation Foundation (WPF) capaç de mostrar interfícies de phishing altament convincents. Aquestes superposicions imiten indicacions bancàries legítimes, actualitzacions falses de Windows, barres de progrés i pantalles d'espera de phishing per veu dissenyades per manipular les víctimes perquè revelin les credencials.

Cal destacar que les superposicions estan ocultes a les eines de captura de pantalla, cosa que dificulta significativament la detecció i l'anàlisi forense.

WhatsApp i Outlook s’han convertit en eines de distribució de programari maliciós

Juntament amb el troià bancari, el carregador implementa un component de cucs responsable de propagar la infecció a escala a través de WhatsApp Web i Microsoft Outlook. El mòdul de WhatsApp segresta les sessions autenticades del navegador i utilitza el projecte de codi obert WPPConnect per automatitzar l'enviament de missatges als contactes de les víctimes. Per millorar l'eficiència de la segmentació, el programari maliciós filtra els xats de grup, les llistes de difusió i els números de telèfon que no són brasilers.

El component d'Outlook funciona com un robot de correu brossa de phishing, ja que utilitza l'aplicació Microsoft Outlook instal·lada per la víctima per distribuir correus electrònics maliciosos directament des de la pròpia adreça de la víctima. Com que aquests missatges provenen de comptes legítims i d'una infraestructura de confiança, els filtres de correu brossa tradicionals i els sistemes de seguretat basats en la reputació tenen dificultats per detectar l'activitat maliciosa.

Segons sembla, el programari maliciós pot enviar correu brossa fins a 3.000 contactes mitjançant sessions de WhatsApp i comptes d'Outlook compromesos, augmentant dràsticament l'abast de la campanya alhora que explota les relacions de confiança existents entre les víctimes i els seus contactes.

Signes d’un panorama d’amenaces en expansió

Els investigadors creuen que REF3076 encara es troba en les seves primeres etapes operatives. Les proves com ara les rutes de registre de depuració, la infraestructura de phishing inacabada i els noms dels processos de prova suggereixen que els operadors continuen refinant i ampliant la campanya.

TCLBANKER també destaca la ràpida evolució que s'està produint dins de l'ecosistema de programari maliciós bancari brasiler. Tècniques que abans només s'associaven amb actors d'amenaces altament sofisticats ara apareixen en operacions de ciberdelinqüència bàsica. Aquestes capacitats inclouen:

  • Desxifratge de càrrega útil basat en l'entorn
  • Generació directa de crides al sistema
  • Enginyeria social en temps real impulsada per WebSocket
  • Propagació de missatges de confiança a través de plataformes de comunicació segrestades

En abusar de sessions legítimes de WhatsApp i Outlook, TCLBANKER evita de manera efectiva moltes defenses de seguretat convencionals. La campanya demostra com els troians bancaris moderns combinen cada cop més tècniques avançades de furt, automatització i enginyeria social per crear operacions ciberdelinqüents altament resistents i escalables.

Tendència

Més vist

Carregant...