Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Mobiilne pahavara TCLBANKER pangandustroojalane

TCLBANKER pangandustroojalane

Aastaks Mezo aastal Mobiilne pahavara, Pangandus troojalane
Tõlgi:

Küberturvalisuse uurijad on avastanud varem dokumenteerimata Brasiilia pangandustrooja nimega TCLBANKER. Tegemist on ülimalt arenenud pahavara tüvega, mis on loodud sihikule võtma 59 pangandus-, finantstehnoloogia- ja krüptovaluutaplatvormi. Kampaaniat jälgitakse praegu nime REF3076 all ja arvatakse, et see esindab kurikuulsa Mavericki pahavaraperekonna olulist edasiminekut, mida varem seostati Water Saci ohuklastriga.

TCLBANKER laiendab varasemaid rünnakumeetodeid, integreerides täiustatud analüüsivastaseid mehhanisme, varjatult tegutsemisele keskendunud kasuliku koormuse edastamist ja laiaulatuslikke levitamisvõimalusi ohustatud sideplatvormide kaudu.

Varjatud nakkusahel, mis on loodud põgenemiseks

Rünnak algab pahatahtliku ZIP-arhiiviga, mis sisaldab MSI installifaili, mis kuritarvitab legitiimselt allkirjastatud Logitechi rakendust nimega Logi AI Prompt Builder. DLL-i külglaadimise kaudu sunnib pahavara usaldusväärset rakendust laadima pahatahtlikku teeki nimega „screen_retriever_plugin.dll”, mis toimib peamise laadijana.

See laadur sisaldab ulatuslikku valvekoera alamsüsteemi, mis on spetsiaalselt loodud tuvastamise vältimiseks. See otsib pidevalt turva- ja analüüsikeskkondi, sealhulgas silujaid, viirusetõrjetooteid, lahtivõtjaid, liivakaste ja instrumenteerimistööriistu. Täitmine toimub ainult siis, kui DLL-i käivitavad heakskiidetud protsessid, näiteks „logiaipromptbuilder.exe” või „tclloader.exe”, viimane on tõenäoliselt seotud sisemise testimisega.

Turvakontrolli edasiseks vältimiseks eemaldab pahavara lõpp-punkti kaitselahenduste poolt faili 'ntdll.dll' paigutatud kasutajarežiimi konksud ja keelab Windowsi sündmuste jälgimise (ETW) telemeetria. Samuti loob see mitu süsteemi sõrmejälge, mis põhinevad silumisvastastel kontrollidel, virtualiseerimise tuvastamisel, kettateabel ja operatsioonisüsteemi keelesätetel. Need sõrmejäljed genereerivad keskkonna räsi, mida kasutatakse manustatud kasuliku koormuse dekrüpteerimiseks.

Pahavara kontrollib spetsiaalselt seda, kas sihtsüsteem kasutab Brasiilia portugali keelt. Igasugune silumise või analüüsi märk annab vale räsiväärtuse, mis takistab kasuliku andmevoo edukat dekrüpteerimist ja peatab süsteemi täitmise täielikult.

Pangandustrooja võimalused, mis on loodud täieliku süsteemikontrolli tagamiseks

Kui analüüsivastased kontrollid on lõpule viidud, käivitatakse peamine pangandustroojan. Pärast süsteemi kuuluvuse Brasiilia kasutajale kinnitamist loob pahavara ajastatud ülesannete kaudu püsivuse ja võtab süsteemiteavet sisaldavate HTTP POST-päringute abil ühendust välise juhtimis- ja kontrollserveriga.

TCLBANKER sisaldab iseuuendusfunktsiooni ja jälgib aktiivselt brauseri tegevust, ammutades URL-e esiplaanil oleva brauseri aadressiribalt kasutajaliidese automatiseerimise tehnikate abil. Pahavara sihib laialdaselt kasutatavaid brausereid, sealhulgas:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Vapper
  • Ooper
  • Vivaldi

Kui tuvastatakse jälgitav pangandus- või krüptovaluuta veebisait, avab TCLBANKER WebSocketi ühenduse kaugserveriga ja siseneb käskude täitmistsüklisse. See võimaldab ründajatel eemalt teostada laia valikut pahatahtlikke tegevusi, sealhulgas süsteemi luuret, lõikelaua manipuleerimist, klahvilogimist, ekraanipiltide jäädvustamist, ekraani voogedastust, hiire ja klaviatuuri kaugjuhtimist, protsesside haldamist ning võltsitud volituste kogumise kihtide juurutamist.

Täiustatud sotsiaalne manipuleerimine ja volituste vargus

TCLBANKER tugineb tundliku teabe varastamiseks suuresti sotsiaalsele manipuleerimisele. Pahavara kasutab Windows Presentation Foundationil (WPF) põhinevat täisekraani raamistikku, mis suudab kuvada väga veenvaid andmepüügiliideseid. Need liidesed jäljendavad seaduslikke pangaviipasid, võltsitud Windowsi värskendusi, edenemisribasid ja häälega andmepüügi ootekuvasid, mis on loodud ohvrite manipuleerimiseks volitusi avaldama.

Tähelepanuväärne on see, et pealiskihid on ekraanipiltide jäädvustamise utiliitide eest peidetud, mis muudab tuvastamise ja kohtuekspertiisi analüüsi oluliselt raskemaks.

WhatsAppist ja Outlookist said pahavara levitamise tööriistad

Lisaks pangatroojale juurutab laadur ussirünnaku komponendi, mis levitab nakkust ulatuslikult nii WhatsApp Webi kui ka Microsoft Outlooki kaudu. WhatsAppi moodul kaaperdab autentitud brauseriseansid ja kasutab avatud lähtekoodiga WPPConnecti projekti, et automatiseerida sõnumite edastamist ohvrite kontaktidele. Sihtimise efektiivsuse parandamiseks filtreerib pahavara välja grupivestlused, saateloendid ja mitte-Brasiilia telefoninumbrid.

Outlooki komponent toimib andmepüügispämmirobotina, kuritarvitades ohvri installitud Microsoft Outlooki rakendust pahatahtlike meilide levitamiseks otse ohvri enda aadressilt. Kuna need sõnumid pärinevad õigustatud kontodelt ja usaldusväärsest infrastruktuurist, on traditsioonilistel rämpspostifiltritel ja mainepõhistel turvasüsteemidel pahatahtliku tegevuse tuvastamisega raskusi.

Pahavara suudab väidetavalt saata rämpsposti kuni 3000 kontaktile, kasutades ohustatud WhatsAppi seansse ja Outlooki kontosid, suurendades dramaatiliselt kampaania ulatust, kasutades ära ohvrite ja nende kontaktide vahelisi olemasolevaid usaldussuhteid.

Laieneva ohumaastiku märgid

Teadlased usuvad, et REF3076 on alles algstaadiumis. Tõendid nagu silumislogi teed, lõpetamata andmepüügi infrastruktuur ja testimisprotsesside nimed viitavad sellele, et operaatorid jätkavad kampaania täiustamist ja laiendamist.

TCLBANKER toob esile ka Brasiilia panganduspahavara ökosüsteemis toimuva kiire arengu. Meetodid, mida varem seostati vaid väga keerukate ohuüksustega, ilmuvad nüüd ka kaubaartiklitesse kuuluvas küberkuritegevuses. Nende võimete hulka kuuluvad:

  • Keskkonnapõhine kasuliku koormuse dekrüpteerimine
  • Otsene süsteemikõne genereerimine
  • Reaalajas WebSocket-põhine sotsiaalne manipuleerimine
  • Usaldusväärse sõnumi levitamine kaaperdatud suhtlusplatvormide kaudu

Kuritarvitades seaduslikke WhatsAppi ja Outlooki seansse, möödub TCLBANKER tõhusalt paljudest tavapärastest turvakaitsetest. Kampaania näitab, kuidas tänapäevased pangandustroojanid ühendavad üha enam täiustatud vargus-, automatiseerimis- ja sotsiaalse manipuleerimise tehnikaid, et luua ülimalt vastupidavaid ja skaleeritavaid küberkuritegevuse operatsioone.

Trendikas

Meilisüsteemi liidese uus versioon – meilipettus

Andmepüük, Rämpspost
Ootamatutesse meilidesse, mis nõuavad kiiret tegutsemist, tuleks alati suhtuda ettevaatusega, eriti kui need hõlmavad konto kinnitamist, turvauuendusi või teenuste peatamist. Küberkurjategijad kasutavad sageli hirmu ja pakilisust ära, et manipuleerida saajatega tundlikku teavet avaldama. Meilikampaania „Uus meilisüsteemi liidese versioon” on üks selline andmepüügipettus, mille eesmärk on petta...

Enim vaadatud

Laadimine...