Τραπεζικό Trojan TCLBANKER
Ερευνητές κυβερνοασφάλειας αποκάλυψαν ένα προηγουμένως μη καταγεγραμμένο βραζιλιάνικο τραπεζικό trojan, γνωστό ως TCLBANKER, ένα εξαιρετικά προηγμένο στέλεχος κακόβουλου λογισμικού που έχει σχεδιαστεί για να στοχεύει 59 τραπεζικές, fintech και πλατφόρμες κρυπτονομισμάτων. Η καμπάνια παρακολουθείται επί του παρόντος με το όνομα REF3076 και πιστεύεται ότι αντιπροσωπεύει μια σημαντική εξέλιξη της διαβόητης οικογένειας κακόβουλου λογισμικού Maverick, η οποία προηγουμένως συνδεόταν με το σύμπλεγμα απειλών Water Saci.
Το TCLBANKER επεκτείνει τις προηγούμενες μεθόδους επίθεσης ενσωματώνοντας προηγμένους μηχανισμούς κατά της ανάλυσης, παράδοση ωφέλιμου φορτίου με επίκεντρο τη μυστικότητα και δυνατότητες διάδοσης μεγάλης κλίμακας μέσω παραβιασμένων πλατφορμών επικοινωνίας.
Πίνακας περιεχομένων
Μια κρυφή αλυσίδα μολύνσεων χτισμένη για αποφυγή
Η επίθεση ξεκινά με ένα κακόβουλο αρχείο ZIP που περιέχει ένα πρόγραμμα εγκατάστασης MSI που καταχράται μια νόμιμα υπογεγραμμένη εφαρμογή Logitech που ονομάζεται Logi AI Prompt Builder. Μέσω της πλευρικής φόρτωσης DLL, το κακόβουλο λογισμικό αναγκάζει την αξιόπιστη εφαρμογή να φορτώσει μια κακόβουλη βιβλιοθήκη με το όνομα 'screen_retriever_plugin.dll', η οποία λειτουργεί ως ο κύριος φορτωτής.
Αυτός ο φορτωτής ενσωματώνει ένα εκτεταμένο υποσύστημα watchdog, ειδικά σχεδιασμένο για να αποφεύγει τον εντοπισμό. Σαρώνει συνεχώς για περιβάλλοντα ασφαλείας και ανάλυσης, συμπεριλαμβανομένων προγραμμάτων εντοπισμού σφαλμάτων, προϊόντων προστασίας από ιούς, προγραμμάτων αποσυναρμολόγησης, sandboxes και εργαλείων οργάνου. Η εκτέλεση προχωρά μόνο όταν το DLL εκκινείται από εγκεκριμένες διεργασίες όπως το 'logiaipromptbuilder.exe' ή το 'tclloader.exe', με το τελευταίο να πιθανότατα συνδέεται με εσωτερικές δοκιμές.
Για να αποφύγει περαιτέρω την παρακολούθηση ασφαλείας, το κακόβουλο λογισμικό καταργεί τα άγκιστρα λειτουργίας χρήστη που τοποθετούνται στο 'ntdll.dll' από λύσεις προστασίας τελικών σημείων και απενεργοποιεί την τηλεμετρία Event Tracing for Windows (ETW). Δημιουργεί επίσης πολλαπλά δακτυλικά αποτυπώματα συστήματος με βάση ελέγχους anti-debugging, ανίχνευση εικονικοποίησης, πληροφορίες δίσκου και ρυθμίσεις γλώσσας λειτουργικού συστήματος. Αυτά τα δακτυλικά αποτυπώματα δημιουργούν ένα hash περιβάλλοντος που χρησιμοποιείται για την αποκρυπτογράφηση του ενσωματωμένου ωφέλιμου φορτίου.
Το κακόβουλο λογισμικό επικυρώνει συγκεκριμένα εάν το σύστημα-στόχος χρησιμοποιεί βραζιλιάνικα πορτογαλικά. Οποιαδήποτε ένδειξη εντοπισμού σφαλμάτων ή ανάλυσης έχει ως αποτέλεσμα μια εσφαλμένη τιμή κατακερματισμού, εμποδίζοντας την επιτυχή αποκρυπτογράφηση του ωφέλιμου φορτίου και διακόπτοντας εντελώς την εκτέλεση.
Δυνατότητες τραπεζικών Trojan σχεδιασμένες για πλήρη έλεγχο συστήματος
Μόλις ολοκληρωθούν οι έλεγχοι anti-analysis, αναπτύσσεται το κύριο banking trojan. Αφού επιβεβαιωθεί ότι το σύστημα ανήκει σε έναν Βραζιλιάνο χρήστη, το κακόβουλο λογισμικό εδραιώνει την παρουσία του μέσω προγραμματισμένων εργασιών και επικοινωνεί με έναν εξωτερικό διακομιστή εντολών και ελέγχου χρησιμοποιώντας αιτήματα HTTP POST που περιέχουν πληροφορίες συστήματος.
Το TCLBANKER περιλαμβάνει λειτουργικότητα αυτόματης ενημέρωσης και παρακολουθεί ενεργά τη δραστηριότητα του προγράμματος περιήγησης εξάγοντας URL από τη γραμμή διευθύνσεων του προγράμματος περιήγησης στο προσκήνιο μέσω τεχνικών αυτοματοποίησης περιβάλλοντος εργασίας χρήστη. Το κακόβουλο λογισμικό στοχεύει σε προγράμματα περιήγησης που χρησιμοποιούνται ευρέως, όπως:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Γενναίος
- Οπερα
- Βιβάλντι
Όταν εντοπιστεί ένας παρακολουθούμενος ιστότοπος τραπεζών ή κρυπτονομισμάτων, το TCLBANKER ανοίγει μια σύνδεση WebSocket σε έναν απομακρυσμένο διακομιστή και εισέρχεται σε έναν βρόχο εκτέλεσης εντολών. Αυτό επιτρέπει στους εισβολείς να εκτελούν εξ αποστάσεως ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, όπως αναγνώριση συστήματος, χειρισμό πρόχειρου, καταγραφή πλήκτρων, λήψη στιγμιότυπων οθόνης, ροή οθόνης, απομακρυσμένο έλεγχο ποντικιού και πληκτρολογίου, διαχείριση διαδικασιών και ανάπτυξη ψεύτικων επικαλύψεων συλλογής διαπιστευτηρίων.
Προηγμένη Κοινωνική Μηχανική και Κλοπή Διαπιστευτηρίων
Το TCLBANKER βασίζεται σε μεγάλο βαθμό στην κοινωνική μηχανική για την κλοπή ευαίσθητων πληροφοριών. Το κακόβουλο λογισμικό χρησιμοποιεί ένα πλαίσιο επικάλυψης πλήρους οθόνης που βασίζεται στο Windows Presentation Foundation (WPF) και είναι ικανό να εμφανίζει εξαιρετικά πειστικές διεπαφές ηλεκτρονικού "ψαρέματος" (phishing). Αυτές οι επικαλύψεις μιμούνται νόμιμα τραπεζικά μηνύματα, ψεύτικες ενημερώσεις των Windows, γραμμές προόδου και οθόνες αναμονής φωνητικού ηλεκτρονικού "ψαρέματος" (phishing) που έχουν σχεδιαστεί για να χειραγωγούν τα θύματα ώστε να αποκαλύψουν διαπιστευτήρια.
Αξίζει να σημειωθεί ότι οι επικαλύψεις είναι κρυφές από τα βοηθητικά προγράμματα καταγραφής οθόνης, καθιστώντας την ανίχνευση και την εγκληματολογική ανάλυση σημαντικά πιο δύσκολες.
Το WhatsApp και το Outlook μετατράπηκαν σε εργαλεία διανομής κακόβουλου λογισμικού
Παράλληλα με το τραπεζικό trojan, ο φορτωτής αναπτύσσει ένα στοιχείο worming που είναι υπεύθυνο για την εξάπλωση της μόλυνσης σε μεγάλη κλίμακα μέσω τόσο του WhatsApp Web όσο και του Microsoft Outlook. Η ενότητα WhatsApp παραβιάζει τις πιστοποιημένες συνεδρίες περιήγησης και χρησιμοποιεί το έργο ανοιχτού κώδικα WPPConnect για να αυτοματοποιήσει την παράδοση μηνυμάτων στις επαφές των θυμάτων. Για να βελτιωθεί η αποτελεσματικότητα της στόχευσης, το κακόβουλο λογισμικό φιλτράρει τις ομαδικές συνομιλίες, τις λίστες μετάδοσης και τους μη βραζιλιάνικους αριθμούς τηλεφώνου.
Το στοιχείο του Outlook λειτουργεί ως ένα phishing spambot, καταχρώμενο την εγκατεστημένη εφαρμογή Microsoft Outlook του θύματος για τη διανομή κακόβουλων email απευθείας από τη διεύθυνση του ίδιου του θύματος. Επειδή αυτά τα μηνύματα προέρχονται από νόμιμους λογαριασμούς και αξιόπιστη υποδομή, τα παραδοσιακά φίλτρα ανεπιθύμητης αλληλογραφίας και τα συστήματα ασφαλείας που βασίζονται στη φήμη δυσκολεύονται να εντοπίσουν την κακόβουλη δραστηριότητα.
Σύμφωνα με πληροφορίες, το κακόβουλο λογισμικό μπορεί να στείλει ανεπιθύμητα μηνύματα σε έως και 3.000 επαφές χρησιμοποιώντας παραβιασμένες συνεδρίες WhatsApp και λογαριασμούς Outlook, αυξάνοντας δραματικά την εμβέλεια της καμπάνιας, ενώ παράλληλα εκμεταλλεύεται τις υπάρχουσες σχέσεις εμπιστοσύνης μεταξύ των θυμάτων και των επαφών τους.
Σημάδια ενός διευρυνόμενου τοπίου απειλών
Οι ερευνητές πιστεύουν ότι το REF3076 βρίσκεται ακόμη στα αρχικά στάδια λειτουργίας του. Στοιχεία όπως οι διαδρομές καταγραφής εντοπισμού σφαλμάτων, η ημιτελής υποδομή ηλεκτρονικού "ψαρέματος" (phishing) και τα ονόματα των διαδικασιών δοκιμών υποδηλώνουν ότι οι χειριστές συνεχίζουν να βελτιώνουν και να επεκτείνουν την καμπάνια.
Το TCLBANKER υπογραμμίζει επίσης την ραγδαία εξέλιξη που συμβαίνει στο οικοσύστημα κακόβουλου λογισμικού τραπεζών στη Βραζιλία. Τεχνικές που κάποτε συνδέονταν μόνο με εξαιρετικά εξελιγμένους απειλητικούς παράγοντες εμφανίζονται τώρα σε επιχειρήσεις κυβερνοεγκλήματος σε εμπορεύματα. Αυτές οι δυνατότητες περιλαμβάνουν:
- Αποκρυπτογράφηση ωφέλιμου φορτίου βάσει περιβάλλοντος
- Άμεση δημιουργία κλήσεων συστήματος
- Κοινωνική μηχανική που βασίζεται σε WebSocket σε πραγματικό χρόνο
- Διάδοση αξιόπιστων μηνυμάτων μέσω πλατφορμών επικοινωνίας που έχουν παραβιαστεί
Καταχρώμενη τις νόμιμες συνεδρίες WhatsApp και Outlook, η TCLBANKER παρακάμπτει αποτελεσματικά πολλές συμβατικές άμυνες ασφαλείας. Η καμπάνια καταδεικνύει πώς τα σύγχρονα τραπεζικά trojan συνδυάζουν ολοένα και περισσότερο προηγμένες τεχνικές μυστικότητας, αυτοματισμού και κοινωνικής μηχανικής για να δημιουργήσουν εξαιρετικά ανθεκτικές και κλιμακούμενες επιχειρήσεις κυβερνοεγκληματιών.
