تروجان بانکی TCLBANKER

محققان امنیت سایبری یک تروجان بانکی برزیلی که قبلاً مستند نشده بود و با نام TCLBANKER شناخته می‌شود را کشف کرده‌اند، یک بدافزار بسیار پیشرفته که برای هدف قرار دادن ۵۹ پلتفرم بانکی، فین‌تک و ارز دیجیتال طراحی شده است. این کمپین در حال حاضر با نام REF3076 ردیابی می‌شود و اعتقاد بر این است که نشان‌دهنده تکامل قابل توجهی از خانواده بدافزار بدنام Maverick است که قبلاً با خوشه تهدید Water Saci مرتبط بود.

TCLBANKER با ادغام مکانیسم‌های پیشرفته ضد تجزیه و تحلیل، تحویل بار داده متمرکز بر پنهان‌کاری و قابلیت‌های انتشار در مقیاس بزرگ از طریق پلتفرم‌های ارتباطی آسیب‌پذیر، روش‌های حمله قبلی را گسترش می‌دهد.

یک زنجیره آلودگی مخفیانه که برای فرار ساخته شده است

این حمله با یک فایل فشرده‌ی مخرب حاوی یک نصب‌کننده‌ی MSI آغاز می‌شود که از یک برنامه‌ی Logitech با امضای قانونی به نام Logi AI Prompt Builder سوءاستفاده می‌کند. این بدافزار از طریق بارگذاری جانبی DLL، برنامه‌ی مورد اعتماد را مجبور به بارگذاری یک کتابخانه‌ی مخرب به نام 'screen_retriever_plugin.dll' می‌کند که به عنوان بارگذاری‌کننده‌ی اصلی عمل می‌کند.

این لودر شامل یک زیرسیستم گسترده‌ی نگهبان است که به‌طور خاص برای جلوگیری از شناسایی طراحی شده است. این زیرسیستم به‌طور مداوم محیط‌های امنیتی و تحلیلی، از جمله اشکال‌زداها، محصولات آنتی‌ویروس، دیس‌اسمبلرها، جعبه‌های شنی و ابزارهای ابزار دقیق را اسکن می‌کند. اجرا تنها زمانی ادامه می‌یابد که DLL توسط فرآیندهای تأیید شده‌ای مانند 'logiaipromptbuilder.exe' یا 'tclloader.exe' راه‌اندازی شود، که مورد دوم احتمالاً به آزمایش داخلی مرتبط است.

برای جلوگیری بیشتر از نظارت امنیتی، این بدافزار قلاب‌های حالت کاربر قرار داده شده در 'ntdll.dll' توسط راه‌حل‌های حفاظت از نقاط پایانی را حذف کرده و تله‌متری ردیابی رویداد برای ویندوز (ETW) را غیرفعال می‌کند. همچنین چندین اثر انگشت سیستمی بر اساس بررسی‌های ضد اشکال‌زدایی، تشخیص مجازی‌سازی، اطلاعات دیسک و تنظیمات زبان سیستم عامل ایجاد می‌کند. این اثر انگشت‌ها یک هش محیطی ایجاد می‌کنند که برای رمزگشایی بار داده جاسازی شده استفاده می‌شود.

این بدافزار به‌طور خاص تأیید می‌کند که آیا سیستم هدف از زبان پرتغالی برزیلی استفاده می‌کند یا خیر. هرگونه نشانه‌ای از اشکال‌زدایی یا تجزیه و تحلیل منجر به مقدار هش نادرست می‌شود که از رمزگشایی موفقیت‌آمیز بار داده جلوگیری کرده و اجرا را به‌طور کامل متوقف می‌کند.

قابلیت‌های تروجان بانکی که برای کنترل کامل سیستم طراحی شده‌اند

پس از اتمام بررسی‌های ضدتحلیل، تروجان بانکی اصلی مستقر می‌شود. پس از تأیید تعلق سیستم به یک کاربر برزیلی، بدافزار از طریق وظایف زمان‌بندی‌شده پایداری خود را برقرار می‌کند و با استفاده از درخواست‌های HTTP POST حاوی اطلاعات سیستم، با یک سرور فرمان و کنترل خارجی ارتباط برقرار می‌کند.

TCLBANKER شامل قابلیت به‌روزرسانی خودکار است و با استخراج URLها از نوار آدرس مرورگر پیش‌زمینه از طریق تکنیک‌های اتوماسیون رابط کاربری، فعالیت مرورگر را به‌طور فعال رصد می‌کند. این بدافزار مرورگرهای پرکاربرد، از جمله موارد زیر را هدف قرار می‌دهد:

• گوگل کروم

هنگامی که یک وب‌سایت بانکی یا ارز دیجیتال تحت نظارت شناسایی می‌شود، TCLBANKER یک اتصال WebSocket به یک سرور راه دور باز می‌کند و وارد یک حلقه اجرای دستور می‌شود. این امر مهاجمان را قادر می‌سازد تا از راه دور طیف گسترده‌ای از فعالیت‌های مخرب، از جمله شناسایی سیستم، دستکاری کلیپ‌بورد، ثبت کلید، ضبط تصویر از صفحه نمایش، پخش جریانی صفحه نمایش، کنترل از راه دور ماوس و صفحه کلید، مدیریت فرآیند و استقرار پوشش‌های جعلی جمع‌آوری اعتبارنامه را انجام دهند.

مهندسی اجتماعی پیشرفته و سرقت اعتبارنامه

TCLBANKER برای سرقت اطلاعات حساس به شدت به مهندسی اجتماعی متکی است. این بدافزار از یک چارچوب پوشش تمام صفحه مبتنی بر Windows Presentation Foundation (WPF) استفاده می‌کند که قادر به نمایش رابط‌های فیشینگ بسیار متقاعدکننده است. این پوشش‌ها از پیام‌های بانکی قانونی، به‌روزرسانی‌های جعلی ویندوز، نوارهای پیشرفت و صفحات انتظار فیشینگ صوتی تقلید می‌کنند که برای فریب قربانیان و ترغیب آنها به افشای اطلاعات کاربری طراحی شده‌اند.

نکته قابل توجه این است که این لایه‌های پوششی از ابزارهای ضبط صفحه نمایش پنهان هستند و همین امر تشخیص و تحلیل قانونی را به طور قابل توجهی دشوارتر می‌کند.

واتس‌اپ و اوت‌لوک به ابزارهای توزیع بدافزار تبدیل شدند

در کنار تروجان بانکی، این لودر یک مؤلفه کرم‌سازی را مستقر می‌کند که مسئول گسترش آلودگی در مقیاس وسیع از طریق واتس‌اپ وب و مایکروسافت اوت‌لوک است. ماژول واتس‌اپ، جلسات مرورگر احراز هویت‌شده را ربوده و از پروژه متن‌باز WPPConnect برای خودکارسازی ارسال پیام به مخاطبین قربانیان استفاده می‌کند. برای بهبود کارایی هدف‌گیری، این بدافزار چت‌های گروهی، فهرست‌های پخش و شماره تلفن‌های غیربرزیلی را فیلتر می‌کند.

مؤلفه Outlook با سوءاستفاده از برنامه Microsoft Outlook نصب‌شده روی قربانی، به عنوان یک ربات اسپم فیشینگ عمل می‌کند تا ایمیل‌های مخرب را مستقیماً از آدرس خود قربانی توزیع کند. از آنجا که این پیام‌ها از حساب‌های قانونی و زیرساخت‌های قابل اعتماد سرچشمه می‌گیرند، فیلترهای اسپم سنتی و سیستم‌های امنیتی مبتنی بر اعتبار برای شناسایی فعالیت مخرب با مشکل مواجه می‌شوند.

طبق گزارش‌ها، این بدافزار می‌تواند با استفاده از جلسات واتس‌اپ و حساب‌های اوت‌لوک آسیب‌دیده، تا ۳۰۰۰ مخاطب را اسپم کند و با سوءاستفاده از روابط اعتماد موجود بین قربانیان و مخاطبین آنها، دامنه فعالیت این کمپین را به طرز چشمگیری افزایش دهد.

نشانه‌هایی از گسترش چشم‌انداز تهدید

محققان معتقدند REF3076 هنوز در مراحل اولیه عملیاتی خود است. شواهدی مانند مسیرهای ثبت اشکال‌زدایی، زیرساخت فیشینگ ناتمام و نام فرآیندهای آزمایشی نشان می‌دهد که اپراتورها همچنان به اصلاح و گسترش این کمپین ادامه می‌دهند.

TCLBANKER همچنین به تکامل سریعی که در اکوسیستم بدافزارهای بانکی برزیل در حال وقوع است، اشاره می‌کند. تکنیک‌هایی که زمانی فقط با تهدیدهای بسیار پیچیده مرتبط بودند، اکنون در عملیات جرایم سایبری کالاهای اساسی ظاهر می‌شوند. این قابلیت‌ها عبارتند از:

• رمزگشایی بار داده مبتنی بر محیط
• تولید مستقیم فراخوانی سیستمی
• مهندسی اجتماعی مبتنی بر WebSocket در لحظه
• انتشار پیام‌های مورد اعتماد از طریق پلتفرم‌های ارتباطی ربوده‌شده

با سوءاستفاده از جلسات قانونی واتس‌اپ و اوت‌لوک، TCLBANKER به طور مؤثر بسیاری از دفاع‌های امنیتی مرسوم را دور می‌زند. این کمپین نشان می‌دهد که چگونه تروجان‌های بانکی مدرن به طور فزاینده‌ای تکنیک‌های پیشرفته مخفی‌کاری، اتوماسیون و مهندسی اجتماعی را با هم ترکیب می‌کنند تا عملیات مجرمان سایبری بسیار مقاوم و مقیاس‌پذیر ایجاد کنند.