Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma TCLBANKER-pankkitroijalainen

TCLBANKER-pankkitroijalainen

Vuonna Mezo vuonna Mobiili haittaohjelma, Pankkitoiminta Troijalainen
Käännä:

Kyberturvallisuustutkijat ovat paljastaneet aiemmin dokumentoimattoman brasilialaisen pankkitroijalaisen nimeltä TCLBANKER. Kyseessä on erittäin kehittynyt haittaohjelmakanta, joka on suunniteltu kohdistamaan hyökkäyksiä 59 pankki-, fintech- ja kryptovaluutta-alustalle. Kampanjaa seurataan tällä hetkellä nimellä REF3076, ja sen uskotaan edustavan merkittävää kehitysaskelta pahamaineisessa Maverick-haittaohjelmaperheessä, joka aiemmin yhdistettiin Water Saci -uhkaryhmään.

TCLBANKER laajentaa aiempia hyökkäysmenetelmiä integroimalla edistyneitä anti-analyysimekanismeja, piilotuskeskeistä hyötykuormien toimitusta ja laajamittaisia levitysominaisuuksia vaarannettujen viestintäalustojen kautta.

Salakavala tartuntaketju, joka on rakennettu pakenemista varten

Hyökkäys alkaa haitallisella ZIP-arkistolla, joka sisältää MSI-asennusohjelman. Asennusohjelma väärinkäyttää laillisesti allekirjoitettua Logitech-sovellusta nimeltä Logi AI Prompt Builder. DLL-sivulatauksen kautta haittaohjelma pakottaa luotetun sovelluksen lataamaan haitallisen kirjaston nimeltä 'screen_retriever_plugin.dll', joka toimii ensisijaisena latausohjelmana.

Tämä latausohjelma sisältää laajan valvontajärjestelmän, joka on erityisesti suunniteltu välttämään havaitsemista. Se etsii jatkuvasti tietoturva- ja analyysiympäristöjä, mukaan lukien virheenkorjausohjelmia, virustorjuntaohjelmia, purkajia, hiekkalaatikoita ja instrumentointityökaluja. Suoritus jatkuu vasta, kun hyväksytyt prosessit, kuten 'logiaipromptbuilder.exe' tai 'tclloader.exe', käynnistävät DLL-tiedoston. Jälkimmäinen on todennäköisesti yhteydessä sisäiseen testaukseen.

Välttääkseen tietoturvan valvontaa entisestään haittaohjelma poistaa päätepisteiden suojausratkaisujen 'ntdll.dll'-tiedostoon asettamat käyttäjätilan koukut ja poistaa käytöstä Windowsin tapahtumien jäljityksen (ETW) telemetrian. Se luo myös useita järjestelmäsormenjälkiä virheenkorjaustarkistusten, virtualisoinnin tunnistuksen, levytietojen ja käyttöjärjestelmän kieliasetusten perusteella. Nämä sormenjäljet luovat ympäristön tiivisteen, jota käytetään upotetun hyötykuorman salauksen purkamiseen.

Haittaohjelma tarkistaa erityisesti, käyttääkö kohdejärjestelmä brasilianportugalia. Kaikki merkit virheenkorjauksesta tai analyysistä johtavat virheelliseen hajautusarvoon, mikä estää hyötykuorman salauksen purkamisen ja pysäyttää suorituksen kokonaan.

Pankkitroijalaisten ominaisuudet on suunniteltu täydelliseen järjestelmän hallintaan

Kun analyysien estotarkastukset on suoritettu, ensisijainen pankkitroijalainen otetaan käyttöön. Vahvistettuaan järjestelmän kuuluvan brasilialaiselle käyttäjälle, haittaohjelma pysyy järjestelmässä ajoitettujen tehtävien kautta ja ottaa yhteyttä ulkoiseen komento- ja ohjauspalvelimeen HTTP POST -pyyntöjen avulla, jotka sisältävät järjestelmätietoja.

TCLBANKER sisältää itsepäivitystoiminnon ja valvoo aktiivisesti selaimen toimintaa poimimalla URL-osoitteita etualan selaimen osoiteriviltä käyttöliittymän automaatiotekniikoiden avulla. Haittaohjelma kohdistuu laajalti käytettyihin selaimiin, mukaan lukien:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Rohkea
  • Ooppera
  • Vivaldi

Kun valvottu pankki- tai kryptovaluuttasivusto havaitaan, TCLBANKER avaa WebSocket-yhteyden etäpalvelimeen ja siirtyy komennon suoritussilmukkaan. Tämä mahdollistaa hyökkääjien suorittaa etänä monenlaisia haitallisia toimintoja, kuten järjestelmän tiedustelua, leikepöydän manipulointia, näppäinpainallusten tallentamista, kuvakaappausten ottamista, näytön suoratoistoa, hiiren ja näppäimistön etäohjausta, prosessien hallintaa ja väärennettyjen tunnistetietojen keräämiseen tarkoitettujen peittokuvien käyttöönottoa.

Edistynyt sosiaalinen manipulointi ja tunnistetietojen varastaminen

TCLBANKER luottaa vahvasti sosiaaliseen manipulointiin arkaluonteisten tietojen varastamiseksi. Haittaohjelma käyttää Windows Presentation Foundation (WPF) -pohjaista koko näytön peittokuvakehystä, joka pystyy näyttämään erittäin vakuuttavia tietojenkalastelukäyttöliittymiä. Nämä peittokuvat jäljittelevät laillisia pankkikehotteita, väärennettyjä Windows-päivityksiä, edistymispalkkeja ja äänikomentoja tietojenkalasteluodotuksissa, joiden tarkoituksena on manipuloida uhreja paljastamaan tunnistetietonsa.

Huomionarvoista on, että peittokuvat on piilotettu näytönkaappausohjelmilta, mikä vaikeuttaa havaitsemista ja rikosteknistä analyysia huomattavasti.

WhatsAppista ja Outlookista tuli haittaohjelmien levitystyökaluja

Pankkitroijalaisen ohella lataaja ottaa käyttöön mato-komponentin, joka vastaa tartunnan levittämisestä laajamittaisesti sekä WhatsApp Webin että Microsoft Outlookin kautta. WhatsApp-moduuli kaappaa todennetut selainistunnot ja käyttää avoimen lähdekoodin WPPConnect-projektia automatisoidakseen viestien toimituksen uhrien yhteystiedoille. Kohdistuksen tehokkuuden parantamiseksi haittaohjelma suodattaa pois ryhmäkeskustelut, lähetyslistat ja muut kuin brasilialaiset puhelinnumerot.

Outlook-komponentti toimii tietojenkalastelu-roskapostibottina väärinkäyttämällä uhrin asennettua Microsoft Outlook -sovellusta ja levittämällä haitallisia sähköposteja suoraan uhrin omasta osoitteesta. Koska nämä viestit ovat peräisin laillisilta tileiltä ja luotetusta infrastruktuurista, perinteisillä roskapostisuodattimilla ja maineeseen perustuvilla turvajärjestelmillä on vaikeuksia havaita haitallista toimintaa.

Haittaohjelman kerrotaan voivan lähettää roskapostia jopa 3 000 yhteyshenkilölle käyttämällä vaarantuneita WhatsApp-istuntoja ja Outlook-tilejä, mikä lisää merkittävästi kampanjan tavoittavuutta ja hyödyntää uhrien ja heidän yhteyshenkilöidensä välisiä luottamussuhteita.

Laajentuvan uhkakuvan merkkejä

Tutkijoiden mukaan REF3076 on vielä toiminnan alkuvaiheessa. Todisteet, kuten virheenkorjauslokipolut, keskeneräinen tietojenkalasteluinfrastruktuuri ja testiprosessien nimet, viittaavat siihen, että operaattorit jatkavat kampanjan tarkentamista ja laajentamista.

TCLBANKER korostaa myös Brasilian pankkialan haittaohjelmaekosysteemin nopeaa kehitystä. Tekniikoita, jotka aiemmin yhdistettiin vain erittäin kehittyneisiin uhkatoimijoihin, on nyt käytössä myös hyödykepohjaisissa kyberrikollisoperaatioissa. Näihin ominaisuuksiin kuuluvat:

  • Ympäristöön perustuva hyötykuorman salauksen purku
  • Suora järjestelmäkutsun generointi
  • Reaaliaikainen WebSocket-pohjainen sosiaalinen manipulointi
  • Luotetun viestin levittäminen kaapattujen viestintäalustojen kautta

Väärinkäyttämällä laillisia WhatsApp- ja Outlook-istuntoja TCLBANKER ohittaa tehokkaasti monia perinteisiä tietoturvamekanismeja. Kampanja osoittaa, kuinka nykyaikaiset pankkitroijalaiset yhdistävät yhä enemmän edistyneitä hiiviskely-, automaatio- ja sosiaalisen manipuloinnin tekniikoita luodakseen erittäin kestäviä ja skaalautuvia kyberrikollisoperaatioita.

Trendaavat

Sähköpostijärjestelmän käyttöliittymän uusi versio...

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, jotka vaativat kiireellisiä toimia, tulee aina suhtautua varoen, erityisesti silloin, kun ne liittyvät tilin vahvistamiseen, tietoturvapäivityksiin tai palveluiden keskeyttämiseen. Kyberrikolliset hyödyntävät usein pelkoa ja kiireellisyyttä manipuloidakseen vastaanottajia paljastamaan arkaluonteisia tietoja. "New Version Of The Mail System Interface"...

ICloud-tallennustilan täyttymistä koskeva...

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, joissa väitetään tilin olevan vaarassa tai vaativan kiireellisiä toimia, tulee aina suhtautua varoen. Kyberrikolliset esiintyvät usein luotettavina tuotemerkkeinä ja verkkopalveluina manipuloidakseen vastaanottajia napsauttamaan haitallisia linkkejä, paljastamaan arkaluonteisia tietoja tai lataamaan haitallisia tiedostoja. Niin kutsutut "iCloud-tallennustila...

Eniten katsottu

Ladataan...