TCLBANKER बैंकिंग ट्रोजन

साइबर सुरक्षा शोधकर्ताओं ने TCLBANKER नामक एक अज्ञात ब्राज़ीलियाई बैंकिंग ट्रोजन का पता लगाया है, जो एक अत्यंत उन्नत मैलवेयर है और इसे 59 बैंकिंग, फिनटेक और क्रिप्टोकरेंसी प्लेटफॉर्म को निशाना बनाने के लिए डिज़ाइन किया गया है। इस अभियान को वर्तमान में REF3076 नाम से ट्रैक किया जा रहा है और माना जाता है कि यह कुख्यात मैवरिक मैलवेयर परिवार का एक महत्वपूर्ण विकसित रूप है, जो पहले वाटर सैसी खतरे समूह से जुड़ा हुआ था।

TCLBANKER उन्नत विश्लेषण-विरोधी तंत्र, गुप्त रूप से पेलोड पहुंचाने की तकनीक और समझौता किए गए संचार प्लेटफार्मों के माध्यम से बड़े पैमाने पर प्रसार क्षमताओं को एकीकृत करके पहले की हमला विधियों का विस्तार करता है।

बचने के लिए बनाई गई एक गुप्त संक्रमण श्रृंखला

यह हमला एक दुर्भावनापूर्ण ज़िप आर्काइव से शुरू होता है जिसमें एक एमएसआई इंस्टॉलर होता है जो वैध रूप से हस्ताक्षरित लॉजिटेक एप्लिकेशन, लॉजी एआई प्रॉम्प्ट बिल्डर का दुरुपयोग करता है। डीएलएल साइड-लोडिंग के माध्यम से, मैलवेयर विश्वसनीय एप्लिकेशन को 'screen_retriever_plugin.dll' नामक एक दुर्भावनापूर्ण लाइब्रेरी लोड करने के लिए मजबूर करता है, जो प्राथमिक लोडर के रूप में कार्य करती है।

इस लोडर में एक व्यापक निगरानी प्रणाली शामिल है जिसे विशेष रूप से पहचान से बचने के लिए डिज़ाइन किया गया है। यह लगातार सुरक्षा और विश्लेषण वातावरणों की जांच करता है, जिनमें डीबगर, एंटीवायरस उत्पाद, डिसअसेंबलर, सैंडबॉक्स और इंस्ट्रूमेंटेशन टूल शामिल हैं। निष्पादन तभी आगे बढ़ता है जब DLL को 'logiaipromptbuilder.exe' या 'tclloader.exe' जैसी अनुमोदित प्रक्रियाओं द्वारा लॉन्च किया जाता है, जिनमें से बाद वाला संभवतः आंतरिक परीक्षण से जुड़ा है।

सुरक्षा निगरानी से बचने के लिए, मैलवेयर एंडपॉइंट प्रोटेक्शन सॉल्यूशंस द्वारा 'ntdll.dll' में लगाए गए यूजरमोड हुक्स को हटा देता है और विंडोज के लिए इवेंट ट्रेसिंग (ETW) टेलीमेट्री को निष्क्रिय कर देता है। यह एंटी-डीबगिंग जांच, वर्चुअलाइजेशन डिटेक्शन, डिस्क जानकारी और ऑपरेटिंग सिस्टम भाषा सेटिंग्स के आधार पर कई सिस्टम फिंगरप्रिंट भी बनाता है। ये फिंगरप्रिंट एक एनवायरनमेंट हैश उत्पन्न करते हैं जिसका उपयोग एम्बेडेड पेलोड को डिक्रिप्ट करने के लिए किया जाता है।

यह मैलवेयर विशेष रूप से यह सत्यापित करता है कि लक्षित सिस्टम ब्राज़ीलियाई पुर्तगाली भाषा का उपयोग करता है या नहीं। डिबगिंग या विश्लेषण का कोई भी संकेत गलत हैश मान देता है, जिससे पेलोड का सफल डिक्रिप्शन रुक जाता है और निष्पादन पूरी तरह से बंद हो जाता है।

बैंकिंग ट्रोजन की क्षमताएं पूर्ण सिस्टम नियंत्रण के लिए डिज़ाइन की गई हैं।

एंटी-एनालिसिस जांच पूरी होने के बाद, प्राथमिक बैंकिंग ट्रोजन को तैनात किया जाता है। सिस्टम के ब्राज़ीलियाई उपयोगकर्ता होने की पुष्टि करने के बाद, मैलवेयर निर्धारित कार्यों के माध्यम से अपनी उपस्थिति बनाए रखता है और सिस्टम की जानकारी वाले HTTP POST अनुरोधों का उपयोग करके एक बाहरी कमांड-एंड-कंट्रोल सर्वर से संपर्क करता है।

TCLBANKER में स्वतः अपडेट होने की सुविधा है और यह UI ऑटोमेशन तकनीकों के माध्यम से फोरग्राउंड ब्राउज़र के एड्रेस बार से URL निकालकर ब्राउज़र गतिविधि पर सक्रिय रूप से नज़र रखता है। यह मैलवेयर व्यापक रूप से उपयोग किए जाने वाले ब्राउज़रों को निशाना बनाता है, जिनमें शामिल हैं:

• गूगल क्रोम
• मोज़िला फ़ायरफ़ॉक्स

• माइक्रोसॉफ्ट एज

• बहादुर

• ओपेरा

• विवाल्डी

जब किसी निगरानी में रखी गई बैंकिंग या क्रिप्टोकरेंसी वेबसाइट का पता चलता है, तो TCLBANKER एक दूरस्थ सर्वर से वेबसॉकेट कनेक्शन खोलता है और कमांड निष्पादन लूप में प्रवेश करता है। इससे हमलावर दूर से ही कई प्रकार की दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं, जिनमें सिस्टम की जासूसी, क्लिपबोर्ड में हेरफेर, कीलॉगिंग, स्क्रीनशॉट कैप्चर, स्क्रीन स्ट्रीमिंग, दूरस्थ माउस और कीबोर्ड नियंत्रण, प्रक्रिया प्रबंधन और नकली क्रेडेंशियल-हार्वेस्टिंग ओवरले का उपयोग शामिल है।

उन्नत सामाजिक इंजीनियरिंग और प्रमाण पत्र की चोरी

TCLBANKER संवेदनशील जानकारी चुराने के लिए सोशल इंजीनियरिंग का भरपूर इस्तेमाल करता है। यह मैलवेयर विंडोज प्रेजेंटेशन फाउंडेशन (WPF) पर आधारित फुल-स्क्रीन ओवरले फ्रेमवर्क का उपयोग करता है, जो बेहद विश्वसनीय फ़िशिंग इंटरफ़ेस प्रदर्शित करने में सक्षम है। ये ओवरले असली बैंकिंग प्रॉम्प्ट, नकली विंडोज अपडेट, प्रोग्रेस बार और वॉयस फ़िशिंग वेटिंग स्क्रीन की नकल करते हैं, जिनका उद्देश्य पीड़ितों को उनकी पहचान उजागर करने के लिए प्रेरित करना है।

खास बात यह है कि ये ओवरले स्क्रीन-कैप्चर टूल से छिपे रहते हैं, जिससे इनका पता लगाना और फोरेंसिक विश्लेषण करना काफी मुश्किल हो जाता है।

WhatsApp और Outlook मैलवेयर फैलाने के उपकरण बन गए हैं।

बैंकिंग ट्रोजन के साथ-साथ, यह लोडर एक वर्मिंग कंपोनेंट भी तैनात करता है जो व्हाट्सएप वेब और माइक्रोसॉफ्ट आउटलुक दोनों के माध्यम से बड़े पैमाने पर संक्रमण फैलाने के लिए जिम्मेदार है। व्हाट्सएप मॉड्यूल प्रमाणित ब्राउज़र सेशन को हाईजैक कर लेता है और पीड़ितों के संपर्कों तक संदेश पहुंचाने के लिए ओपन-सोर्स WPPConnect प्रोजेक्ट का उपयोग करता है। बेहतर लक्ष्यीकरण के लिए, यह मैलवेयर ग्रुप चैट, ब्रॉडकास्ट लिस्ट और गैर-ब्राज़ीलियाई फ़ोन नंबरों को फ़िल्टर कर देता है।

आउटलुक कंपोनेंट पीड़ित के इंस्टॉल किए गए माइक्रोसॉफ्ट आउटलुक एप्लिकेशन का दुरुपयोग करके, पीड़ित के अपने ईमेल पते से सीधे दुर्भावनापूर्ण ईमेल भेजकर एक फ़िशिंग स्पैमबॉट के रूप में कार्य करता है। चूंकि ये संदेश वैध खातों और विश्वसनीय बुनियादी ढांचे से उत्पन्न होते हैं, इसलिए पारंपरिक स्पैम फ़िल्टर और प्रतिष्ठा-आधारित सुरक्षा प्रणालियाँ इस दुर्भावनापूर्ण गतिविधि का पता लगाने में असमर्थ होती हैं।

रिपोर्ट के अनुसार, यह मैलवेयर हैक किए गए व्हाट्सएप सेशन और आउटलुक खातों का उपयोग करके 3,000 संपर्कों तक स्पैम कर सकता है, जिससे पीड़ितों और उनके संपर्कों के बीच मौजूदा विश्वास संबंधों का फायदा उठाते हुए अभियान की पहुंच में नाटकीय रूप से वृद्धि होती है।

बढ़ते खतरे के परिदृश्य के संकेत

शोधकर्ताओं का मानना है कि REF3076 अभी भी अपने प्रारंभिक परिचालन चरणों में है। डिबग लॉगिंग पथ, अपूर्ण फ़िशिंग अवसंरचना और परीक्षण प्रक्रिया नामों जैसे साक्ष्य बताते हैं कि संचालक अभियान को परिष्कृत और विस्तारित करना जारी रखे हुए हैं।

TCLBANKER ब्राज़ीलियाई बैंकिंग मैलवेयर इकोसिस्टम में हो रहे तीव्र विकास पर भी प्रकाश डालता है। जो तकनीकें कभी केवल अत्यधिक परिष्कृत हमलावरों से जुड़ी थीं, वे अब सामान्य साइबर अपराध गतिविधियों में दिखाई दे रही हैं। इन क्षमताओं में शामिल हैं:

• पर्यावरण-आधारित पेलोड डिक्रिप्शन
• प्रत्यक्ष सिस्टम कॉल जनरेशन
• वेबसॉकेट-आधारित रीयल-टाइम सोशल इंजीनियरिंग
• अपहरण किए गए संचार प्लेटफार्मों के माध्यम से विश्वसनीय संदेशों का प्रसार

वैध व्हाट्सएप और आउटलुक सत्रों का दुरुपयोग करके, TCLBANKER प्रभावी रूप से कई पारंपरिक सुरक्षा उपायों को दरकिनार कर देता है। यह अभियान दर्शाता है कि आधुनिक बैंकिंग ट्रोजन किस प्रकार उन्नत गुप्तता, स्वचालन और सामाजिक इंजीनियरिंग तकनीकों को मिलाकर अत्यधिक मजबूत और व्यापक साइबर आपराधिक गतिविधियाँ संचालित कर रहे हैं।