Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Bankovní trojan TCLBANKER

Bankovní trojan TCLBANKER

V roce Mezo v roce Mobilní malware, Bankovní Trojan
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili dříve nezdokumentovaný brazilský bankovní trojan známý jako TCLBANKER, což je vysoce pokročilý kmen malwaru určený k útoku na 59 bankovních, fintech a kryptoměnových platforem. Kampaň je v současné době sledována pod názvem REF3076 a předpokládá se, že představuje významný vývoj nechvalně známé rodiny malwaru Maverick, dříve spojované s klastrem hrozeb Water Saci.

TCLBANKER rozšiřuje dřívější metody útoku integrací pokročilých mechanismů proti analýze, nenápadného doručování dat a schopností šíření dat ve velkém měřítku prostřednictvím napadených komunikačních platforem.

Nenápadný infekční řetězec vytvořený pro úniky

Útok začíná škodlivým ZIP archivem obsahujícím instalační program MSI, který zneužívá legitimně podepsanou aplikaci Logitech s názvem Logi AI Prompt Builder. Prostřednictvím bočního načítání DLL malware nutí důvěryhodnou aplikaci načíst škodlivou knihovnu s názvem „screen_retriever_plugin.dll“, která funguje jako primární zavaděč.

Tento zavaděč obsahuje rozsáhlý watchdog subsystém, který je speciálně navržen tak, aby se vyhnul detekci. Neustále prohledává bezpečnostní a analytická prostředí, včetně debuggerů, antivirových produktů, disassembleru, sandboxů a instrumentačních nástrojů. Spuštění probíhá pouze tehdy, když je knihovna DLL spuštěna schválenými procesy, jako například „logiaipromptbuilder.exe“ nebo „tclloader.exe“, přičemž druhý jmenovaný je pravděpodobně spojen s interním testováním.

Aby se malware dále vyhnul bezpečnostnímu monitorování, odstraňuje hooky uživatelského režimu umístěné v souboru „ntdll.dll“ řešeními pro ochranu koncových bodů a deaktivuje telemetrii Event Tracing for Windows (ETW). Také vytváří více systémových otisků prstů na základě kontrol anti-debuggingu, detekce virtualizace, informací o disku a nastavení jazyka operačního systému. Tyto otisky prstů generují hash prostředí používaný k dešifrování vloženého datového zatížení.

Malware konkrétně ověřuje, zda cílový systém používá brazilskou portugalštinu. Jakýkoli náznak ladění nebo analýzy má za následek nesprávnou hash hodnotu, což brání úspěšnému dešifrování dat a zcela zastavuje provádění.

Možnosti bankovního trojského koně navržené pro plnou kontrolu nad systémem

Jakmile jsou dokončeny antianalytické kontroly, je nasazen primární bankovní trojan. Po ověření, že systém patří brazilskému uživateli, malware nastaví perzistenci prostřednictvím naplánovaných úloh a kontaktuje externí velitelský server pomocí HTTP POST požadavků obsahujících systémové informace.

TCLBANKER obsahuje funkci automatické aktualizace a aktivně monitoruje aktivitu prohlížeče extrahováním adres URL z adresního řádku prohlížeče v popředí pomocí technik automatizace uživatelského rozhraní. Malware cílí na široce používané prohlížeče, včetně:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Statečný
  • Opera
  • Vivaldi

Když je detekována monitorovaná bankovní nebo kryptoměnová webová stránka, TCLBANKER otevře WebSocket připojení ke vzdálenému serveru a vstoupí do smyčky provádění příkazů. To útočníkům umožňuje vzdáleně provádět širokou škálu škodlivých aktivit, včetně systémového průzkumu, manipulace se schránkou, keyloggu, snímání obrazovky, streamování obrazovky, vzdáleného ovládání myší a klávesnicí, správy procesů a nasazování falešných překryvů pro sběr přihlašovacích údajů.

Pokročilé sociální inženýrství a krádež přihlašovacích údajů

TCLBANKER se při krádeži citlivých informací silně spoléhá na sociální inženýrství. Malware používá celoobrazovkový overlay framework založený na Windows Presentation Foundation (WPF), který je schopen zobrazovat velmi přesvědčivá phishingová rozhraní. Tato overlaye napodobují legitimní bankovní výzvy, falešné aktualizace systému Windows, indikátory průběhu a hlasové phishingové čekací obrazovky, jejichž cílem je manipulovat s oběťmi a vymáhat od nich přihlašovací údaje.

Je pozoruhodné, že překryvné vrstvy jsou skryté před nástroji pro snímání obrazovky, což výrazně ztěžuje jejich detekci a forenzní analýzu.

WhatsApp a Outlook se proměnily v nástroje pro distribuci malwaru

Spolu s bankovním trojským koněm nasazuje zavaděč také komponentu pro šíření infekce ve velkém měřítku prostřednictvím WhatsApp Web i Microsoft Outlook. Modul WhatsAppu napadá ověřené relace prohlížeče a využívá open-source projekt WPPConnect k automatizaci doručování zpráv kontaktům obětí. Pro zvýšení efektivity cílení malware filtruje skupinové chaty, seznamy rozesílaných zpráv a telefonní čísla mimo Brazílii.

Komponenta Outlooku funguje jako phishingový spambot zneužívá nainstalovanou aplikaci Microsoft Outlook oběti k distribuci škodlivých e-mailů přímo z její vlastní adresy. Protože tyto zprávy pocházejí z legitimních účtů a důvěryhodné infrastruktury, tradiční spamové filtry a bezpečnostní systémy založené na reputaci mají problém s detekcí škodlivé aktivity.

Malware údajně dokáže rozeslat spam až 3 000 kontaktům pomocí napadených relací WhatsApp a účtů Outlook, čímž dramaticky zvyšuje dosah kampaně a zároveň zneužívá stávající vztahy důvěry mezi oběťmi a jejich kontakty.

Známky rozšiřující se hrozby

Výzkumníci se domnívají, že REF3076 je stále v raných fázích provozu. Důkazy, jako jsou cesty protokolování ladění, nedokončená phishingová infrastruktura a názvy testovacích procesů, naznačují, že operátoři kampaň nadále zdokonalují a rozšiřují.

TCLBANKER také zdůrazňuje rychlý vývoj, ke kterému dochází v ekosystému brazilského bankovního malwaru. Techniky, které byly dříve spojovány pouze s vysoce sofistikovanými aktéry hackerských útoků, se nyní objevují v operacích kybernetické kriminality zaměřené na komoditní produkty. Mezi tyto možnosti patří:

  • Dešifrování dat na základě prostředí
  • Generování přímého systémového volání
  • Sociální inženýrství v reálném čase řízené WebSocketem
  • Šíření důvěryhodných zpráv prostřednictvím napadených komunikačních platforem

Zneužíváním legitimních relací WhatsAppu a Outlooku TCLBANKER efektivně obchází mnoho konvenčních bezpečnostních opatření. Kampaň ukazuje, jak moderní bankovní trojské koně stále častěji kombinují pokročilé techniky utajení, automatizace a sociálního inženýrství k vytváření vysoce odolných a škálovatelných kyberzločinných operací.

Trendy

Nová verze e-mailového podvodu s rozhraním...

Phishing, Spam
S neočekávanými e-maily, které vyžadují naléhavou akci, by se mělo vždy zacházet opatrně, zejména pokud se týkají ověření účtu, aktualizací zabezpečení nebo pozastavení služeb. Kyberzločinci často zneužívají strach a naléhavost k manipulaci s příjemci a k odhalení citlivých informací. E-mailová kampaň „Nová verze rozhraní poštovního systému“ je jedním z takových phishingových podvodů, jejichž...

Úplný podvod s e-maily v úložišti iCloud

Phishing, Spam
Neočekávané e-maily, které tvrdí, že je účet ohrožen nebo vyžaduje naléhavý zásah, by měly být vždy brány s opatrností. Kyberzločinci se často vydávají za důvěryhodné značky a online služby, aby manipulovali s příjemci a přiměli je klikat na škodlivé odkazy, odhalovat citlivé informace nebo stahovat škodlivé soubory. Takzvané e-maily s označením „iCloud Storage Full“ jsou součástí phishingového...

Nejvíce shlédnuto

Načítání...