הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד טרויאן בנקאות TCLBANKER

טרויאן בנקאות TCLBANKER

עד Mezo ב-תוכנה זדונית לנייד, טרויאני בנקאי
לתרגם ל:

חוקרי אבטחת סייבר חשפו טרויאן בנקאי ברזילאי שלא תועד קודם לכן, המכונה TCLBANKER, זן תוכנה זדונית מתקדם ביותר שנועד לפגוע ב-59 פלטפורמות בנקאיות, פינטק ומטבעות קריפטוגרפיים. הקמפיין נמצא כעת תחת השם REF3076 והוא נחשב לייצג התפתחות משמעותית של משפחת תוכנות הזדוניות הידועה לשמצה Maverick, שקושרת בעבר לאשכול האיומים Water Saci.

TCLBANKER מרחיב שיטות תקיפה קודמות על ידי שילוב מנגנוני אנטי-אנליזה מתקדמים, העברת מטען ממוקדת התגנבות ויכולות התפשטות בקנה מידה גדול באמצעות פלטפורמות תקשורת פרוצות.

שרשרת הדבקה חשאית שנבנתה להתחמקות

ההתקפה מתחילה בארכיון ZIP זדוני המכיל מתקין MSI, אשר מנצל לרעה יישום Logitech שנחתם באופן חוקי בשם Logi AI Prompt Builder. באמצעות טעינת DLL צדדית, התוכנה הזדונית מאלצת את היישום המהימן לטעון ספרייה זדונית בשם 'screen_retriever_plugin.dll', אשר משמשת כמפעיל הראשי.

טוען זה משלב תת-מערכת מעקב נרחבת שתוכננה במיוחד כדי להתחמק מגילוי. הוא סורק באופן רציף סביבות אבטחה וניתוח, כולל ניפוי באגים, מוצרי אנטי-וירוס, כלי פירוק, ארגזי חול וכלי מכשור. הביצוע מתבצע רק כאשר קובץ ה-DLL מופעל על ידי תהליכים מאושרים כגון 'logiaipromptbuilder.exe' או 'tclloader.exe', כאשר האחרון ככל הנראה קשור לבדיקות פנימיות.

כדי להימנע עוד יותר מניטור אבטחה, התוכנה הזדונית מסירה ווים מסוג usermode שהוצבו בתוך 'ntdll.dll' על ידי פתרונות הגנה מפני נקודות קצה ומשביתה את טלמטריית המעקב אחר אירועים עבור Windows (ETW). היא גם יוצרת טביעות אצבע מרובות של המערכת המבוססות על בדיקות נגד ניפוי שגיאות, זיהוי וירטואליזציה, מידע על הדיסק והגדרות שפת מערכת ההפעלה. טביעות אצבע אלו יוצרות גיבוב סביבתי המשמש לפענוח המטען המוטמע.

התוכנה הזדונית מאמתת באופן ספציפי האם מערכת היעד משתמשת בפורטוגזית ברזילאית. כל אינדיקציה של ניפוי שגיאות או ניתוח גורמת לערך גיבוב שגוי, המונע פענוח מוצלח של המטען ועוצר לחלוטין את הביצוע.

יכולות טרויאניות בנקאיות שתוכננו לשליטה מלאה במערכת

לאחר השלמת בדיקות האנטי-אנליזה, סוס הטרויאנים הבנקאי הראשי נפרס. לאחר אישור שהמערכת שייכת למשתמש ברזילאי, הקוד הזדוני משיג נוכחות באמצעות משימות מתוזמנות ויוצר קשר עם שרת פקודה ובקרה חיצוני באמצעות בקשות HTTP POST המכילות מידע על המערכת.

TCLBANKER כולל פונקציונליות של עדכון עצמי ומנטר באופן פעיל את פעילות הדפדפן על ידי חילוץ כתובות URL משורת הכתובת של הדפדפן שבחזית באמצעות טכניקות אוטומציה של ממשק המשתמש. התוכנה הזדונית מכוונת לדפדפנים נפוצים, כולל:

  • גוגל כרום
  • מוזילה פיירפוקס
  • מיקרוסופט אדג'
  • אַמִיץ
  • אוֹפֵּרָה
  • ויוואלדי

כאשר מזוהה אתר אינטרנט של בנקאות או מטבעות קריפטוגרפיים מנוטר, TCLBANKER פותח חיבור WebSocket לשרת מרוחק ונכנס ללולאת ביצוע פקודות. זה מאפשר לתוקפים לבצע מרחוק מגוון רחב של פעילויות זדוניות, כולל סיור מערכת, מניפולציה של לוח כתיבה, רישום מקשים, צילום מסך, הזרמת מסך, שליטה מרחוק בעכבר ובמקלדת, ניהול תהליכים ופריסה של שכבות איסוף אישורים מזויפות.

הנדסה חברתית מתקדמת וגניבת אישורים

TCLBANKER מסתמך במידה רבה על הנדסה חברתית כדי לגנוב מידע רגיש. הנוזקה משתמשת במסגרת שכבת-על של מסך מלא מבוססת Windows Presentation Foundation (WPF) המסוגלת להציג ממשקי פישינג משכנעים ביותר. שכבות-על אלו מחקות הנחיות בנקאיות לגיטימיות, עדכוני Windows מזויפים, סרגלי התקדמות ומסכי המתנה של פישינג קולי שנועדו לתמרן קורבנות לחשוף אישורים.

ראוי לציין כי שכבות ה-overs מוסתרות מכלי עזר ללכידת מסך, מה שמקשה משמעותית על הזיהוי והניתוח הפורנזי.

וואטסאפ ואאוטלוק הפכו לכלי הפצת תוכנות זדוניות

לצד סוס הטרויאני הבנקאי, הטוען פורס רכיב תולעים האחראי להפצת הזיהום בקנה מידה גדול הן דרך WhatsApp Web והן דרך Microsoft Outlook. מודול WhatsApp חוטף הפעלות דפדפן מאומתות ומשתמש בפרויקט WPPConnect בקוד פתוח כדי להפוך את מסירת ההודעות לאנשי הקשר של הקורבנות לאוטומטית. כדי לשפר את יעילות המיקוד, הנוזקה מסננת צ'אטים קבוצתיים, רשימות שידור ומספרי טלפון שאינם ברזילאים.

רכיב Outlook מתפקד כספאם-בוט פישינג על ידי ניצול לרעה של אפליקציית Microsoft Outlook המותקנת על ידי הקורבן כדי להפיץ הודעות דוא"ל זדוניות ישירות מכתובת הקורבן. מכיוון שהודעות אלו מגיעות מחשבונות לגיטימיים ותשתית מהימנה, מסנני ספאם מסורתיים ומערכות אבטחה מבוססות מוניטין מתקשים לזהות את הפעילות הזדונית.

על פי הדיווחים, הנוזקה יכולה לשלוח ספאם לעד 3,000 אנשי קשר באמצעות שיחות WhatsApp וחשבונות Outlook שנפרצו, ובכך להגדיל באופן דרמטי את טווח ההגעה של הקמפיין תוך ניצול יחסי אמון קיימים בין הקורבנות לאנשי הקשר שלהם.

סימנים של נוף איומים מתרחב

חוקרים מאמינים ש-REF3076 עדיין נמצא בשלבי הפעילות המוקדמים שלו. ראיות כגון נתיבי רישום ניפוי באגים, תשתית פישינג לא גמורה ושמות תהליכי בדיקה מצביעים על כך שהמפעילים ממשיכים לשפר ולהרחיב את הקמפיין.

TCLBANKER מדגיש גם את ההתפתחות המהירה המתרחשת במערכת האקולוגית של תוכנות זדוניות בנקאיות בברזיל. טכניקות שבעבר היו קשורות רק לגורמי איום מתוחכמים ביותר מופיעות כעת בפעילות פשעי סייבר סחורות. יכולות אלה כוללות:

  • פענוח מטען מבוסס סביבה
  • יצירת שיחות סיסמה ישירות
  • הנדסה חברתית בזמן אמת המונעת על ידי WebSocket
  • הפצת הודעות מהימנות באמצעות פלטפורמות תקשורת חטופות

על ידי ניצול לרעה של שיחות WhatsApp ואאוטלוק לגיטימיות, TCLBANKER עוקף ביעילות הגנות אבטחה קונבנציונליות רבות. הקמפיין מדגים כיצד טרויאנים בנקאיים מודרניים משלבים יותר ויותר טכניקות התגנבות מתקדמות, אוטומציה והנדסה חברתית כדי ליצור פעולות פושעי סייבר עמידות וניתנות להרחבה.

מגמות

גרסה חדשה של ממשק מערכת הדואר הונאת דוא"ל

פישינג, ספאם
יש להתייחס בזהירות לאימיילים בלתי צפויים הדורשים פעולה דחופה, במיוחד כאשר הם כוללים אימות חשבון, שדרוגי אבטחה או שירותים מושעים. פושעי סייבר מנצלים לעתים קרובות פחד ודחיפות כדי לתמרן את הנמענים לחשוף מידע רגיש. קמפיין הדוא"ל "גרסה חדשה של ממשק מערכת הדואר" הוא הונאת פישינג כזו שנועדה להטעות משתמשים ולגרום להם למסור את פרטי חשבון הדוא"ל שלהם. הודעות אלה אינן קשורות לאף ספק דוא"ל, חברה, ארגון או...

הונאת דוא"ל מלאה של אחסון iCloud

פישינג, ספאם
יש להתייחס בזהירות להודעות דוא"ל בלתי צפויות הטוענות כי חשבון נמצא בסיכון או דורש פעולה דחופה. פושעי סייבר מתחזים לעתים קרובות למותגים ושירותים מקוונים מהימנים כדי לתמרן את הנמענים ולגרום להם ללחוץ על קישורים זדוניים, לחשוף מידע רגיש או להוריד קבצים מזיקים. הודעות הדוא"ל המכונות "אחסון iCloud מלא" הן חלק מהונאת פישינג ואינן קשורות לחברות, ארגונים או ישויות לגיטימיות. אזהרות אחסון מזויפות שנועדו...

הכי נצפה

טוען...