Rabattilbud med flere licenser
Trusseldatabase Mobil malware TCLBANKER Banktrojan

TCLBANKER Banktrojan

Med Mezo i Mobil malware, Bank Trojan
Oversæt til:

Cybersikkerhedsforskere har afdækket en hidtil udokumenteret brasiliansk banktrojan kendt som TCLBANKER, en meget avanceret malware-stamme designet til at målrette 59 bank-, fintech- og kryptovalutaplatforme. Kampagnen spores i øjeblikket under navnet REF3076 og menes at repræsentere en betydelig udvikling af den berygtede Maverick-malwarefamilie, der tidligere var forbundet med trusselsgruppen Water Saci.

TCLBANKER udvider tidligere angrebsmetoder ved at integrere avancerede anti-analysemekanismer, stealth-fokuseret levering af nyttelast og storskala udbredelseskapaciteter gennem kompromitterede kommunikationsplatforme.

En skjult infektionskæde bygget til undvigelse

Angrebet starter med et ondsindet ZIP-arkiv, der indeholder et MSI-installationsprogram, som misbruger et legitimt signeret Logitech-program kaldet Logi AI Prompt Builder. Gennem sideindlæsning af DLL tvinger malwaren det betroede program til at indlæse et ondsindet bibliotek ved navn 'screen_retriever_plugin.dll', som fungerer som den primære indlæser.

Denne indlæser indeholder et omfattende watchdog-undersystem, der er specielt udviklet til at undgå detektion. Det scanner løbende efter sikkerheds- og analysemiljøer, herunder debuggere, antivirusprodukter, disassemblere, sandkasser og instrumenteringsværktøjer. Udførelsen fortsætter kun, når DLL'en startes af godkendte processer som 'logiaipromptbuilder.exe' eller 'tclloader.exe', hvor sidstnævnte sandsynligvis er knyttet til intern testning.

For yderligere at undgå sikkerhedsovervågning fjerner malwaren brugertilstands-hooks, der er placeret i 'ntdll.dll' af endpoint-beskyttelsesløsninger, og deaktiverer Event Tracing for Windows (ETW) telemetri. Den opretter også flere systemfingeraftryk baseret på anti-debugging-kontroller, virtualiseringsdetektion, diskinformation og operativsystemets sprogindstillinger. Disse fingeraftryk genererer en miljøhash, der bruges til at dekryptere den integrerede nyttelast.

Malwaren validerer specifikt, om målsystemet bruger brasiliansk portugisisk. Enhver indikation af fejlfinding eller analyse resulterer i en forkert hashværdi, hvilket forhindrer vellykket dekryptering af nyttelasten og stopper udførelsen helt.

Banktrojan-funktioner designet til fuld systemkontrol

Når anti-analysekontrollerne er gennemført, implementeres den primære banktrojan. Efter at have bekræftet, at systemet tilhører en brasiliansk bruger, etablerer malwaren persistens gennem planlagte opgaver og kontakter en ekstern kommando- og kontrolserver ved hjælp af HTTP POST-anmodninger, der indeholder systemoplysninger.

TCLBANKER inkluderer en selvopdateringsfunktion og overvåger aktivt browseraktivitet ved at udtrække URL'er fra browserens adresselinje i forgrunden via UI-automatiseringsteknikker. Malwaren er rettet mod udbredte browsere, herunder:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Modig
  • Opera
  • Vivaldi

Når et overvåget bank- eller kryptovalutawebsted registreres, åbner TCLBANKER en WebSocket-forbindelse til en ekstern server og går ind i en kommandoudførelsesløkke. Dette gør det muligt for angribere at udføre en bred vifte af ondsindede aktiviteter eksternt, herunder systemrekognoscering, manipulation af udklipsholder, keylogging, screenshot-optagelse, skærmstreaming, fjernstyring af mus og tastatur, processtyring og implementering af falske overlays til indsamling af legitimationsoplysninger.

Avanceret social manipulation og tyveri af legitimationsoplysninger

TCLBANKER er i høj grad afhængig af social engineering for at stjæle følsomme oplysninger. Malwaren bruger et Windows Presentation Foundation (WPF)-baseret fuldskærms-overlay-framework, der er i stand til at vise meget overbevisende phishing-grænseflader. Disse overlays imiterer legitime bankprompter, falske Windows-opdateringer, statuslinjer og venteskærme til stemme-phishing, der er designet til at manipulere ofre til at afsløre legitimationsoplysninger.

Bemærkelsesværdigt er overlejringerne skjult for skærmbilledeværktøjer, hvilket gør detektion og retsmedicinsk analyse betydeligt vanskeligere.

WhatsApp og Outlook forvandlet til værktøjer til distribution af malware

Sammen med banktrojaneren anvender loaderen en ormekurkomponent, der er ansvarlig for at sprede infektionen i stor skala via både WhatsApp Web og Microsoft Outlook. WhatsApp-modulet kaprer autentificerede browsersessioner og bruger open source-projektet WPPConnect til at automatisere levering af beskeder til ofrenes kontakter. For at forbedre målretningseffektiviteten filtrerer malwaren gruppechats, broadcastlister og ikke-brasilianske telefonnumre fra.

Outlook-komponenten fungerer som en phishing-spambot ved at misbruge offerets installerede Microsoft Outlook-program til at distribuere ondsindede e-mails direkte fra offerets egen adresse. Fordi disse beskeder stammer fra legitime konti og betroet infrastruktur, har traditionelle spamfiltre og omdømmebaserede sikkerhedssystemer svært ved at opdage den ondsindede aktivitet.

Malwaren kan angiveligt spamme op til 3.000 kontakter ved hjælp af kompromitterede WhatsApp-sessioner og Outlook-konti, hvilket dramatisk øger kampagnens rækkevidde, samtidig med at den udnytter eksisterende tillidsforhold mellem ofre og deres kontakter.

Tegn på et voksende trusselslandskab

Forskere mener, at REF3076 stadig er i sine tidlige operationelle stadier. Beviser som f.eks. debug-loggingstier, ufærdig phishing-infrastruktur og navne på testprocesser tyder på, at operatørerne fortsætter med at forfine og udvide kampagnen.

TCLBANKER fremhæver også den hurtige udvikling, der finder sted inden for det brasilianske økosystem for bankmalware. Teknikker, der engang kun blev forbundet med meget sofistikerede trusselsaktører, dukker nu op i forbindelse med cyberkriminalitetsoperationer i almindelig handel. Disse funktioner omfatter:

  • Miljøbaseret nyttelastdekryptering
  • Direkte syscall-generering
  • Realtids WebSocket-drevet social engineering
  • Udbredelse af betroede beskeder via kaprede kommunikationsplatforme

Ved at misbruge legitime WhatsApp- og Outlook-sessioner omgår TCLBANKER effektivt mange konventionelle sikkerhedsforsvar. Kampagnen demonstrerer, hvordan moderne banktrojanere i stigende grad blander avanceret stealth-, automatiserings- og social engineering-teknikker for at skabe yderst robuste og skalerbare cyberkriminelle operationer.

Trending

Mest sete

Indlæser...