Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program TCLBANKER banki trójai

TCLBANKER banki trójai

Mezo -ra Mobil rosszindulatú program, Banki trójai-ben
Fordítás ide:

Kiberbiztonsági kutatók lelepleztek egy korábban nem dokumentált brazil banki trójai vírust, a TCLBANKER-t, amely egy rendkívül fejlett kártevő törzs, amelyet 59 banki, fintech és kriptovaluta platform megcélzására terveztek. A kampányt jelenleg REF3076 néven követik nyomon, és úgy vélik, hogy a hírhedt Maverick kártevőcsalád jelentős továbbfejlesztését képviseli, amelyet korábban a Water Saci fenyegetési klaszterrel hoztak összefüggésbe.

A TCLBANKER a korábbi támadási módszereket bővíti ki fejlett anti-elemző mechanizmusok, lopakodásra összpontosító hasznos teher kézbesítés és nagyméretű terjedési képességek integrálásával feltört kommunikációs platformokon keresztül.

Egy rejtett fertőzési lánc, amelyet a kibúvásra építettek

A támadás egy rosszindulatú ZIP archívummal kezdődik, amely egy MSI telepítőt tartalmaz, amely egy legitim módon aláírt Logitech alkalmazást, a Logi AI Prompt Buildert használja visszaélésre. DLL oldalra töltődésen keresztül a rosszindulatú program arra kényszeríti a megbízható alkalmazást, hogy betöltse a „screen_retriever_plugin.dll” nevű rosszindulatú könyvtárat, amely elsődleges betöltőként működik.

Ez a betöltő egy kiterjedt watchdog alrendszert tartalmaz, amelyet kifejezetten az észlelés elkerülésére terveztek. Folyamatosan keres biztonsági és elemző környezeteket, beleértve a hibakeresőket, víruskereső termékeket, disassemblereket, sandboxokat és eszközkezelő eszközöket. A végrehajtás csak akkor kezdődik, amikor a DLL-t jóváhagyott folyamatok, például a „logiaipromptbuilder.exe” vagy a „tclloader.exe” elindítják, utóbbi valószínűleg belső teszteléshez kapcsolódik.

A biztonsági monitorozás további elkerülése érdekében a rosszindulatú program eltávolítja a végpontvédelmi megoldások által az „ntdll.dll” fájlba helyezett felhasználói módú hookokat, és letiltja az Event Tracing for Windows (ETW) telemetriát. Emellett több rendszer ujjlenyomatot is létrehoz a hibakeresési ellenőrzések, a virtualizációérzékelés, a lemezinformációk és az operációs rendszer nyelvi beállításainak alapján. Ezek az ujjlenyomatok egy környezeti hash-t generálnak, amely a beágyazott hasznos adat visszafejtésére szolgál.

A kártevő kifejezetten ellenőrzi, hogy a célrendszer brazil portugál nyelvet használ-e. A hibakeresésre vagy elemzésre utaló bármilyen jelzés helytelen hash értéket eredményez, ami megakadályozza a hasznos adatok sikeres visszafejtését és teljesen leállítja a végrehajtást.

Banki trójai képességek a teljes rendszerfelügyelet érdekében

Miután az anti-analízis ellenőrzések befejeződtek, a rendszer telepíti az elsődleges banki trójai vírust. Miután megerősítette, hogy a rendszer egy brazil felhasználóhoz tartozik, a rosszindulatú program ütemezett feladatokon keresztül tartósan fennmarad, és HTTP POST kérések segítségével kapcsolatba lép egy külső parancs- és vezérlőkiszolgálóval, amelyek rendszerinformációkat tartalmaznak.

A TCLBANKER önfrissítő funkcióval rendelkezik, és aktívan figyeli a böngésző tevékenységét azáltal, hogy URL-eket nyer ki az előtérben lévő böngésző címsorából felhasználói felület automatizálási technikák segítségével. A rosszindulatú program a széles körben használt böngészőket célozza meg, beleértve a következőket:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Bátor
  • Opera
  • Vivaldi

Amikor egy megfigyelt banki vagy kriptovaluta weboldalt észlel, a TCLBANKER WebSocket kapcsolatot nyit egy távoli szerverrel, és belép egy parancsvégrehajtási ciklusba. Ez lehetővé teszi a támadók számára, hogy távolról széles körű rosszindulatú tevékenységeket hajtsanak végre, beleértve a rendszer felderítését, a vágólap manipulálását, a billentyűnaplózást, a képernyőképek rögzítését, a képernyő streamelését, a távoli egér- és billentyűzetvezérlést, a folyamatkezelést és a hamis hitelesítő adatok gyűjtésére szolgáló rétegek telepítését.

Fejlett szociális manipuláció és hitelesítő adatok ellopása

A TCLBANKER nagymértékben támaszkodik a pszichológiai manipulációra az érzékeny információk ellopásához. A rosszindulatú program egy Windows Presentation Foundation (WPF) alapú, teljes képernyős keretrendszert használ, amely képes meggyőző adathalász felületek megjelenítésére. Ezek a rétegek legitim banki üzeneteket, hamis Windows-frissítéseket, folyamatjelző sávokat és hangalapú adathalász várakozó képernyőket utánoznak, amelyek célja, hogy manipulálják az áldozatokat a hitelesítő adatok megadásával.

Figyelemre méltó, hogy az átfedések rejtve vannak a képernyőrögzítő segédprogramok elől, ami jelentősen megnehezíti az észlelést és a kriminalisztikai elemzést.

A WhatsApp és az Outlook kártevő-elosztó eszközökké vált

A banki trójai mellett a betöltő egy féreghajtó komponenst is telepít, amely a fertőzés nagymértékű terjesztéséért felelős a WhatsApp Weben és a Microsoft Outlookon keresztül. A WhatsApp modul eltéríti a hitelesített böngésző-munkameneteket, és a nyílt forráskódú WPPConnect projektet használja az üzenetek kézbesítésének automatizálására az áldozatok kapcsolataihoz. A célzási hatékonyság javítása érdekében a rosszindulatú program kiszűri a csoportos csevegéseket, a hírlistákat és a nem brazil telefonszámokat.

Az Outlook komponens adathalász spambotként működik, az áldozat telepített Microsoft Outlook alkalmazását kihasználva közvetlenül az áldozat saját címéről küld kártékony e-maileket. Mivel ezek az üzenetek legitim fiókokból és megbízható infrastruktúrából származnak, a hagyományos spamszűrők és a hírnévalapú biztonsági rendszerek nehezen tudják észlelni a rosszindulatú tevékenységeket.

A kártevő állítólag akár 3000 kontaktot is képes spammelni feltört WhatsApp-munkamenetek és Outlook-fiókok használatával, drámaian megnövelve a kampány elérését, miközben kihasználja az áldozatok és kontaktjaik közötti meglévő bizalmi kapcsolatokat.

A bővülő fenyegetettség jelei

A kutatók úgy vélik, hogy a REF3076 még korai működési szakaszban van. Az olyan bizonyítékok, mint a hibakeresési naplózási útvonalak, a befejezetlen adathalász infrastruktúra és a tesztelési folyamatnevek, arra utalnak, hogy az üzemeltetők folyamatosan finomítják és bővítik a kampányt.

A TCLBANKER kiemeli a brazil banki rosszindulatú szoftverek ökoszisztémájában zajló gyors fejlődést is. Azok a technikák, amelyek egykor csak a rendkívül kifinomult fenyegetésekkel kapcsolatos szereplőkhöz kapcsolódtak, most megjelennek az árupiaci kiberbűnözési műveletekben is. Ezek a képességek a következők:

  • Környezetalapú hasznos teher dekódolása
  • Közvetlen rendszerhívás-generálás
  • Valós idejű, WebSocket-vezérelt társadalmi manipuláció
  • Megbízható üzenetek terjesztése eltérített kommunikációs platformokon keresztül

A legitim WhatsApp és Outlook munkamenetek visszaélésével a TCLBANKER hatékonyan megkerül számos hagyományos biztonsági védelmet. A kampány bemutatja, hogy a modern banki trójaiak hogyan ötvözik egyre inkább a fejlett lopakodást, az automatizálást és a társadalmi manipulációt a rendkívül ellenálló és skálázható kiberbűnözői műveletek létrehozása érdekében.

Felkapott

A levelezőrendszer felületének új verziója – e-mail...

Adathalászat, Spam
A váratlan, sürgős beavatkozást igénylő e-maileket mindig óvatosan kell kezelni, különösen, ha fiókellenőrzést, biztonsági frissítéseket vagy felfüggesztett szolgáltatásokat érintenek. A kiberbűnözők gyakran kihasználják a félelmet és a sürgősséget, hogy manipulálják a címzetteket, és így bizalmas információkat osszanak meg róluk. Az „Új verzió a levelezőrendszer felületéről” e-mail kampány egy...

ICloud tárhely megtelt e-mailes átverés

Adathalászat, Spam
A váratlan e-maileket, amelyek azt állítják, hogy egy fiók veszélyben van, vagy sürgős beavatkozást igényel, mindig óvatosan kell kezelni. A kiberbűnözők gyakran megbízható márkáknak és online szolgáltatásoknak adják ki magukat, hogy manipulálják a címzetteket, és rávegyék őket rosszindulatú linkekre, bizalmas információkat fedjenek fel, vagy káros fájlokat töltsenek le. Az úgynevezett...

Legnézettebb

Betöltés...