Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Trojan bancario TCLBANKER

Trojan bancario TCLBANKER

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario
Traduci in:

Alcuni ricercatori di sicurezza informatica hanno scoperto un trojan bancario brasiliano finora sconosciuto, noto come TCLBANKER, una variante di malware altamente avanzata progettata per colpire 59 piattaforme bancarie, fintech e di criptovalute. La campagna è attualmente tracciata con il nome REF3076 e si ritiene rappresenti una significativa evoluzione della famigerata famiglia di malware Maverick, precedentemente associata al cluster di minacce Water Saci.

TCLBANKER amplia i metodi di attacco precedenti integrando meccanismi anti-analisi avanzati, la distribuzione furtiva del payload e capacità di propagazione su larga scala attraverso piattaforme di comunicazione compromesse.

Una catena di infezione furtiva progettata per eludere

L'attacco inizia con un archivio ZIP dannoso contenente un programma di installazione MSI che sfrutta un'applicazione Logitech legittimamente firmata chiamata Logi AI Prompt Builder. Tramite il side-loading di DLL, il malware costringe l'applicazione attendibile a caricare una libreria dannosa denominata 'screen_retriever_plugin.dll', che funge da caricatore principale.

Questo loader incorpora un esteso sottosistema di monitoraggio specificamente progettato per eludere il rilevamento. Esegue scansioni continue alla ricerca di ambienti di sicurezza e analisi, inclusi debugger, prodotti antivirus, disassemblatori, sandbox e strumenti di strumentazione. L'esecuzione procede solo quando la DLL viene avviata da processi approvati come 'logiaipromptbuilder.exe' o 'tclloader.exe', quest'ultimo probabilmente collegato a test interni.

Per eludere ulteriormente il monitoraggio della sicurezza, il malware rimuove gli hook in modalità utente inseriti nel file 'ntdll.dll' dalle soluzioni di protezione degli endpoint e disabilita la telemetria Event Tracing for Windows (ETW). Crea inoltre diverse impronte digitali di sistema basate su controlli anti-debugging, rilevamento della virtualizzazione, informazioni sul disco e impostazioni della lingua del sistema operativo. Queste impronte digitali generano un hash ambientale utilizzato per decrittografare il payload incorporato.

Il malware verifica specificamente se il sistema target utilizza il portoghese brasiliano. Qualsiasi indicazione di debug o analisi si traduce in un valore hash errato, impedendo la corretta decrittazione del payload e bloccando completamente l'esecuzione.

Trojan bancari con funzionalità progettate per il controllo completo del sistema.

Una volta completati i controlli anti-analisi, viene distribuito il trojan bancario principale. Dopo aver confermato che il sistema appartiene a un utente brasiliano, il malware stabilisce la persistenza tramite attività pianificate e contatta un server di comando e controllo esterno utilizzando richieste HTTP POST contenenti informazioni di sistema.

TCLBANKER include funzionalità di autoaggiornamento e monitora attivamente l'attività del browser estraendo gli URL dalla barra degli indirizzi del browser in primo piano tramite tecniche di automazione dell'interfaccia utente. Il malware prende di mira i browser più diffusi, tra cui:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Coraggioso
  • Opera
  • Vivaldi

Quando viene rilevato un sito web bancario o di criptovalute monitorato, TCLBANKER apre una connessione WebSocket a un server remoto ed entra in un ciclo di esecuzione di comandi. Ciò consente agli aggressori di eseguire da remoto un'ampia gamma di attività dannose, tra cui ricognizione del sistema, manipolazione degli appunti, keylogging, acquisizione di screenshot, streaming dello schermo, controllo remoto del mouse e della tastiera, gestione dei processi e distribuzione di overlay falsi per il furto di credenziali.

Tecniche avanzate di ingegneria sociale e furto di credenziali

TCLBANKER si basa in gran parte sull'ingegneria sociale per rubare informazioni sensibili. Il malware utilizza un framework di sovrapposizione a schermo intero basato su Windows Presentation Foundation (WPF) in grado di visualizzare interfacce di phishing estremamente convincenti. Queste sovrapposizioni imitano legittime richieste bancarie, falsi aggiornamenti di Windows, barre di avanzamento e schermate di attesa per il phishing vocale, progettate per manipolare le vittime e indurle a rivelare le proprie credenziali.

In particolare, le sovrapposizioni sono nascoste dagli strumenti di acquisizione schermo, il che rende il rilevamento e l'analisi forense significativamente più difficili.

WhatsApp e Outlook trasformati in strumenti di distribuzione di malware

Insieme al trojan bancario, il loader distribuisce un componente worm responsabile della diffusione su larga scala dell'infezione tramite WhatsApp Web e Microsoft Outlook. Il modulo WhatsApp dirotta le sessioni del browser autenticate e utilizza il progetto open-source WPPConnect per automatizzare l'invio dei messaggi ai contatti delle vittime. Per migliorare l'efficacia del targeting, il malware filtra le chat di gruppo, le liste broadcast e i numeri di telefono non brasiliani.

Il componente Outlook funziona come uno spambot di phishing, sfruttando l'applicazione Microsoft Outlook installata sul computer della vittima per distribuire email dannose direttamente dall'indirizzo email della vittima stessa. Poiché questi messaggi provengono da account legittimi e infrastrutture affidabili, i filtri antispam tradizionali e i sistemi di sicurezza basati sulla reputazione faticano a rilevare l'attività dannosa.

Secondo alcune fonti, il malware è in grado di inviare spam a un massimo di 3.000 contatti utilizzando sessioni WhatsApp e account Outlook compromessi, aumentando drasticamente la portata della campagna e sfruttando i rapporti di fiducia esistenti tra le vittime e i loro contatti.

Segnali di un panorama di minacce in espansione

I ricercatori ritengono che REF3076 sia ancora nelle sue fasi operative iniziali. Elementi come i percorsi di log di debug, l'infrastruttura di phishing incompleta e i nomi dei processi di test suggeriscono che gli operatori stiano continuando a perfezionare ed espandere la campagna.

TCLBANKER evidenzia inoltre la rapida evoluzione in atto nell'ecosistema brasiliano dei malware bancari. Tecniche un tempo associate esclusivamente ad attori malevoli altamente sofisticati stanno ora comparendo in operazioni di criminalità informatica di base. Queste capacità includono:

  • Decrittazione del payload basata sull'ambiente
  • Generazione diretta di chiamate di sistema
  • Ingegneria sociale in tempo reale basata su WebSocket
  • Propagazione di messaggi affidabili attraverso piattaforme di comunicazione compromesse

Sfruttando sessioni legittime di WhatsApp e Outlook, TCLBANKER aggira efficacemente molte difese di sicurezza convenzionali. La campagna dimostra come i moderni trojan bancari stiano integrando sempre più tecniche avanzate di furtività, automazione e ingegneria sociale per creare operazioni di criminalità informatica altamente resilienti e scalabili.

Tendenza

I più visti

Caricamento in corso...