Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware TCLBANKER Bankarski trojanac

TCLBANKER Bankarski trojanac

Do Mezo. Mobilni malware, Bankarski trojanac. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su prethodno nedokumentirani brazilski bankarski trojanac poznat kao TCLBANKER, vrlo naprednu vrstu zlonamjernog softvera dizajniranu za ciljanje 59 bankarskih, fintech i kriptovalutnih platformi. Kampanja se trenutno prati pod nazivom REF3076 i vjeruje se da predstavlja značajnu evoluciju zloglasne obitelji zlonamjernog softvera Maverick, prethodno povezane s klasterom prijetnji Water Saci.

TCLBANKER proširuje ranije metode napada integrirajući napredne mehanizme protiv analize, isporuku korisnog tereta usmjerenu na prikrivenost i mogućnosti širenja velikih razmjera putem kompromitiranih komunikacijskih platformi.

Prikriveni lanac infekcije izgrađen za izbjegavanje

Napad započinje zlonamjernom ZIP arhivom koja sadrži MSI instalacijski program koji zloupotrebljava legitimno potpisanu Logitech aplikaciju pod nazivom Logi AI Prompt Builder. Kroz bočno učitavanje DLL-a, zlonamjerni softver prisiljava pouzdanu aplikaciju da učita zlonamjernu biblioteku pod nazivom 'screen_retriever_plugin.dll', koja djeluje kao primarni program za učitavanje.

Ovaj program za učitavanje uključuje opsežan podsustav nadzora posebno dizajniran za izbjegavanje otkrivanja. Neprestano skenira sigurnosna i analitička okruženja, uključujući programe za ispravljanje pogrešaka, antivirusne proizvode, rastavljače, sandboxove i alate za instrumentaciju. Izvršavanje se nastavlja samo kada DLL pokreću odobreni procesi kao što su 'logiaipromptbuilder.exe' ili 'tclloader.exe', pri čemu je potonji vjerojatno povezan s internim testiranjem.

Kako bi dodatno izbjegao sigurnosni nadzor, zlonamjerni softver uklanja kuke korisničkog načina rada koje unutar 'ntdll.dll' postavljaju rješenja za zaštitu krajnjih točaka i onemogućuje telemetriju praćenja događaja za Windows (ETW). Također stvara više otisaka prstiju sustava na temelju provjera protiv otklanjanja pogrešaka, otkrivanja virtualizacije, informacija o disku i postavki jezika operativnog sustava. Ti otisci prstiju generiraju hash okruženja koji se koristi za dešifriranje ugrađenog sadržaja.

Zlonamjerni softver posebno provjerava koristi li ciljni sustav brazilski portugalski. Bilo kakav pokazatelj otklanjanja pogrešaka ili analize rezultira netočnom hash vrijednošću, sprječavajući uspješno dešifriranje sadržaja i potpuno zaustavljajući izvršavanje.

Mogućnosti bankarskog trojanca osmišljene za potpunu kontrolu sustava

Nakon što su provjere anti-analize završene, aktivira se primarni bankarski trojanac. Nakon što potvrdi da sustav pripada brazilskom korisniku, zlonamjerni softver uspostavlja postojanost putem zakazanih zadataka i kontaktira vanjski poslužitelj za upravljanje i kontrolu koristeći HTTP POST zahtjeve koji sadrže informacije o sustavu.

TCLBANKER uključuje funkcionalnost samoažuriranja i aktivno prati aktivnost preglednika izdvajanjem URL-ova iz adresne trake preglednika u prvom planu putem tehnika automatizacije korisničkog sučelja. Zlonamjerni softver cilja široko korištene preglednike, uključujući:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Hrabar
  • Opera
  • Vivaldi

Kada se otkrije nadzirana bankarska ili kriptovalutna web stranica, TCLBANKER otvara WebSocket vezu s udaljenim poslužiteljem i ulazi u petlju izvršavanja naredbi. To omogućuje napadačima daljinsko izvođenje širokog raspona zlonamjernih aktivnosti, uključujući izviđanje sustava, manipulaciju međuspremnikom, keylogging, snimanje zaslona, streaming zaslona, daljinsko upravljanje mišem i tipkovnicom, upravljanje procesima i postavljanje lažnih slojeva za prikupljanje vjerodajnica.

Napredni društveni inženjering i krađa vjerodajnica

TCLBANKER se uvelike oslanja na društveni inženjering kako bi ukrao osjetljive informacije. Zlonamjerni softver koristi okvir za prekrivanje cijelog zaslona temeljen na Windows Presentation Foundationu (WPF) koji je sposoban prikazati vrlo uvjerljiva sučelja za krađu identiteta. Ovi slojevi oponašaju legitimne bankarske upite, lažna ažuriranja sustava Windows, trake napretka i zaslone čekanja za glasovnu krađu identiteta osmišljene kako bi manipulirale žrtvama i otkrile vjerodajnice.

Značajno je da su slojevi skriveni od uslužnih programa za snimanje zaslona, što znatno otežava otkrivanje i forenzičku analizu.

WhatsApp i Outlook pretvoreni u alate za distribuciju zlonamjernog softvera

Uz bankarskog trojanca, zlonamjerni softver implementira i komponentu za zarazu koja je odgovorna za širenje zaraze u velikim razmjerima putem WhatsApp Weba i Microsoft Outlooka. WhatsApp modul otima autentificirane sesije preglednika i koristi projekt otvorenog koda WPPConnect za automatizaciju dostave poruka kontaktima žrtava. Kako bi se poboljšala učinkovitost ciljanja, zlonamjerni softver filtrira grupne chatove, liste za emitiranje i telefonske brojeve koji nisu iz Brazila.

Outlookova komponenta funkcionira kao phishing spambot zloupotrebljavajući instaliranu Microsoft Outlook aplikaciju žrtve za distribuciju zlonamjernih e-poruka izravno s vlastite adrese žrtve. Budući da te poruke potječu s legitimnih računa i pouzdane infrastrukture, tradicionalni filteri za neželjenu poštu i sigurnosni sustavi temeljeni na reputaciji teško otkrivaju zlonamjerne aktivnosti.

Zlonamjerni softver navodno može slati neželjenu poštu do 3000 kontakata koristeći kompromitirane WhatsApp sesije i Outlook račune, dramatično povećavajući doseg kampanje i iskorištavajući postojeće odnose povjerenja između žrtava i njihovih kontakata.

Znakovi širenja krajolika prijetnji

Istraživači vjeruju da je REF3076 još uvijek u ranoj operativnoj fazi. Dokazi poput putanja zapisivanja pogrešaka, nedovršene phishing infrastrukture i naziva testnih procesa sugeriraju da operateri nastavljaju usavršavati i širiti kampanju.

TCLBANKER također ističe brzu evoluciju koja se događa unutar brazilskog ekosustava zlonamjernog softvera za bankarstvo. Tehnike koje su se nekada povezivale samo s visoko sofisticiranim prijetnjama sada se pojavljuju u operacijama kibernetičkog kriminala. Te mogućnosti uključuju:

  • Dešifriranje korisnog tereta temeljeno na okruženju
  • Izravno generiranje sistemskih poziva
  • Socijalni inženjering u stvarnom vremenu vođen WebSocketom
  • Širenje pouzdanih poruka putem hakiranih komunikacijskih platformi

Zloupotrebom legitimnih WhatsApp i Outlook sesija, TCLBANKER učinkovito zaobilazi mnoge konvencionalne sigurnosne obrane. Kampanja pokazuje kako moderni bankarski trojanci sve više kombiniraju napredne tehnike prikrivanja, automatizacije i društvenog inženjeringa kako bi stvorili vrlo otporne i skalabilne kibernetičke kriminalne operacije.

U trendu

Nova verzija prijevare s e-poštom putem sučelja mail...

Krađa identiteta, Spam
Neočekivane e-poruke koje zahtijevaju hitnu akciju uvijek treba tretirati s oprezom, posebno kada uključuju provjeru računa, sigurnosne nadogradnje ili obustavu usluga. Kibernetički kriminalci često iskorištavaju strah i hitnost kako bi manipulirali primateljima i naveli ih da otkriju osjetljive informacije. Kampanja e-pošte 'Nova verzija sučelja mail sustava' jedna je od takvih phishing...

Nagledanije

Učitavam...