Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa mobiliesiems TCLBANKER bankininkystės Trojos arklys

TCLBANKER bankininkystės Trojos arklys

Autorius Mezo, Kenkėjiška programa mobiliesiems, Bankininkystės Trojos arklys
Versti į:

Kibernetinio saugumo tyrėjai atrado anksčiau nedokumentuotą Brazilijos bankininkystės Trojos arklį, žinomą kaip TCLBANKER – itin pažangią kenkėjiškų programų atmainą, skirtą 59 bankininkystės, finansinių technologijų ir kriptovaliutų platformoms. Šiuo metu kampanija sekama pavadinimu REF3076 ir manoma, kad tai reikšminga liūdnai pagarsėjusios „Maverick“ kenkėjiškų programų šeimos, anksčiau siejamos su „Water Saci“ grėsmių grupe, evoliucija.

„TCLBANKER“ išplečia ankstesnius atakų metodus, integruodama pažangius antianalizės mechanizmus, slaptą informacijos perdavimą ir didelio masto sklidimo galimybes per pažeistas ryšio platformas.

Slapta infekcijos grandinė, sukurta vengimui

Ataka prasideda nuo kenkėjiško ZIP archyvo, kuriame yra MSI diegimo programa, piktnaudžiaujanti teisėtai pasirašyta „Logitech“ programa, vadinama „Logi AI Prompt Builder“. Įkeldama DLL failus iš šono, kenkėjiška programa priverčia patikimą programą įkelti kenkėjišką biblioteką pavadinimu „screen_retriever_plugin.dll“, kuri veikia kaip pagrindinė įkėlėja.

Šis krautuvas turi platų stebėjimo posistemį, specialiai sukurtą aptikimui išvengti. Jis nuolat ieško saugumo ir analizės aplinkų, įskaitant derinimo programas, antivirusines programas, išardytojus, smėlio dėžes ir instrumentavimo įrankius. Vykdymas pradedamas tik tada, kai DLL paleidžia patvirtinti procesai, tokie kaip „logiaipromptbuilder.exe“ arba „tclloader.exe“, pastarasis greičiausiai susietas su vidiniu testavimu.

Siekdama dar labiau išvengti saugumo stebėjimo, kenkėjiška programa pašalina vartotojo režimo kabliukus, kuriuos galinių taškų apsaugos sprendimai įdeda į „ntdll.dll“, ir išjungia „Windows“ įvykių sekimo (ETW) telemetriją. Ji taip pat sukuria kelis sistemos pirštų atspaudus, pagrįstus derinimo patikrinimais, virtualizacijos aptikimu, disko informacija ir operacinės sistemos kalbos nustatymais. Šie pirštų atspaudai generuoja aplinkos maišą, naudojamą įterptajam naudingajam kroviniui iššifruoti.

Kenkėjiška programa specialiai patikrina, ar tikslinė sistema naudoja brazilų portugalų kalbą. Bet koks derinimo ar analizės požymis lemia neteisingą maišos reikšmę, todėl nepavyksta sėkmingai iššifruoti naudingosios apkrovos ir visiškai sustabdomas vykdymas.

Bankininkystės Trojos arklio galimybės, sukurtos visapusiškai sistemos kontrolei

Kai antianalizės patikrinimai atliekami, paleidžiamas pagrindinis bankininkystės Trojos arklys. Patvirtinus, kad sistema priklauso Brazilijos vartotojui, kenkėjiška programa užtikrina pastovumą atlikdama suplanuotas užduotis ir susisiekia su išoriniu komandų ir valdymo serveriu, naudodama HTTP POST užklausas su sistemos informacija.

„TCLBANKER“ turi savaiminio atnaujinimo funkciją ir aktyviai stebi naršyklės veiklą, išskirdama URL adresus iš priekinio plano naršyklės adreso juostos, naudodama vartotojo sąsajos automatizavimo metodus. Kenkėjiška programa skirta plačiai naudojamoms naršyklėms, įskaitant:

  • „Google Chrome“
  • Mozilla Firefox
  • „Microsoft Edge“
  • Drąsus
  • Opera
  • Vivaldi

Kai aptinkama stebima bankininkystės ar kriptovaliutų svetainė, TCLBANKER atidaro „WebSocket“ ryšį su nuotoliniu serveriu ir patenka į komandų vykdymo ciklą. Tai leidžia užpuolikams nuotoliniu būdu atlikti įvairią kenkėjišką veiklą, įskaitant sistemos žvalgybą, iškarpinės manipuliavimą, klavišų paspaudimų registravimą, ekrano kopijų fiksavimą, ekrano transliaciją, nuotolinį pelės ir klaviatūros valdymą, procesų valdymą ir netikrų kredencialų rinkimo perdangų diegimą.

Pažangi socialinė inžinerija ir kredencialų vagystė

„TCLBANKER“ labai remiasi socialine inžinerija, kad pavogtų slaptą informaciją. Kenkėjiška programa naudoja „Windows Presentation Foundation“ (WPF) pagrindu sukurtą viso ekrano perdengimo sistemą, galinčią rodyti labai įtikinamas sukčiavimo sąsajas. Šios perdengimo programos imituoja teisėtus bankininkystės raginimus, netikrus „Windows“ atnaujinimus, progreso juostas ir balso sukčiavimo laukimo ekranus, skirtus manipuliuoti aukomis, kad jos atskleistų savo prisijungimo duomenis.

Pažymėtina, kad perdangos yra paslėptos nuo ekrano fiksavimo programų, todėl aptikimas ir teismo ekspertizė yra žymiai sunkesni.

„WhatsApp“ ir „Outlook“ virto kenkėjiškų programų platinimo įrankiais

Kartu su bankininkystės Trojos arkliu įkėlėjas įdiegia viruso komponentą, atsakingą už infekcijos platinimą dideliu mastu tiek per „WhatsApp Web“, tiek per „Microsoft Outlook“. „WhatsApp“ modulis užgrobia autentifikuotas naršyklės sesijas ir naudoja atvirojo kodo „WPPConnect“ projektą, kad automatizuotų pranešimų pristatymą aukų kontaktams. Siekdama pagerinti taikinių efektyvumą, kenkėjiška programa filtruoja grupinius pokalbius, transliacijų sąrašus ir ne Brazilijos telefono numerius.

„Outlook“ komponentas veikia kaip sukčiavimo brukalo robotas, piktnaudžiaudamas aukos įdiegta „Microsoft Outlook“ programa ir platindamas kenkėjiškus el. laiškus tiesiai iš aukos adreso. Kadangi šie pranešimai siunčiami iš teisėtų paskyrų ir patikimos infrastruktūros, tradiciniams brukalo filtrams ir reputacija pagrįstoms saugumo sistemoms sunku aptikti kenkėjišką veiklą.

Pranešama, kad kenkėjiška programa gali siųsti šlamštą iki 3000 kontaktų, naudodama pažeistas „WhatsApp“ sesijas ir „Outlook“ paskyras, taip smarkiai padidindama kampanijos pasiekiamumą ir išnaudodama esamus pasitikėjimo santykius tarp aukų ir jų kontaktų.

Plėtojančio grėsmių kraštovaizdžio požymiai

Tyrėjai mano, kad REF3076 vis dar yra ankstyvosiose veikimo stadijose. Tokie įrodymai kaip derinimo žurnalų keliai, nebaigta sukčiavimo infrastruktūra ir testavimo procesų pavadinimai rodo, kad operatoriai toliau tobulina ir plečia kampaniją.

„TCLBANKER“ taip pat pabrėžia sparčią Brazilijos bankų kenkėjiškų programų ekosistemos evoliuciją. Metodai, anksčiau siejami tik su itin sudėtingais grėsmių subjektais, dabar naudojami ir komercinėse kibernetinėse operacijose. Šios galimybės apima:

  • Aplinkos pagrindu veikiantis naudingosios apkrovos iššifravimas
  • Tiesioginis sisteminis iškvietimas
  • Realaus laiko „WebSocket“ pagrindu sukurta socialinė inžinerija
  • Patikimo pranešimo skleidimas per užgrobtas komunikacijos platformas

Piktnaudžiaudama teisėtais „WhatsApp“ ir „Outlook“ seansais, „TCLBANKER“ efektyviai apeina daugelį įprastų saugumo priemonių. Kampanija demonstruoja, kaip šiuolaikiniai bankų Trojos arkliai vis dažniau derina pažangius slaptus, automatizavimo ir socialinės inžinerijos metodus, kad sukurtų itin atsparias ir keičiamo mastelio kibernetinių nusikaltimų operacijas.

Tendencijos

Nauja pašto sistemos sąsajos versija – el. pašto...

Sukčiavimas, Šlamštas
Į netikėtus el. laiškus, reikalaujančius skubių veiksmų, visada reikėtų žiūrėti atsargiai, ypač kai jie susiję su paskyros patvirtinimu, saugumo atnaujinimais ar paslaugų sustabdymu. Kibernetiniai nusikaltėliai dažnai pasinaudoja baime ir skubumu, kad manipuliuotų gavėjais ir iš jų gautų neskelbtiną informaciją. El. pašto kampanija „Nauja pašto sistemos sąsajos versija“ yra viena iš tokių...

Sukčiai el. paštu pranešama apie visą „iCloud“...

Sukčiavimas, Šlamštas
Į netikėtus el. laiškus, kuriuose teigiama, kad paskyrai gresia pavojus arba reikia skubiai imtis veiksmų, visada reikėtų žiūrėti atsargiai. Kibernetiniai nusikaltėliai dažnai apsimetinėja patikimais prekių ženklais ir internetinėmis paslaugomis, kad manipuliuotų gavėjais ir priverstų juos spustelėti kenkėjiškas nuorodas, atskleisti neskelbtiną informaciją arba atsisiųsti kenksmingus failus....

Labiausiai žiūrima

Įkeliama...