Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm TCLBANKER banku Trojas zirgs

TCLBANKER banku Trojas zirgs

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm, Banku Trojas zirgs. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši iepriekš nedokumentētu Brazīlijas banku Trojas zirgu, kas pazīstams kā TCLBANKER — ļoti progresīvu ļaunprogrammatūras paveidu, kas paredzēts, lai uzbruktu 59 banku, finanšu tehnoloģiju un kriptovalūtu platformām. Kampaņa pašlaik tiek izsekota ar nosaukumu REF3076, un tiek uzskatīts, ka tā ir nozīmīga bēdīgi slavenās Maverick ļaunprogrammatūras saimes evolūcija, kas iepriekš bija saistīta ar Water Saci apdraudējumu klasteri.

TCLBANKER paplašina iepriekšējās uzbrukumu metodes, integrējot uzlabotus antianalīzes mehānismus, uz slepenību orientētu lietderīgās slodzes piegādi un liela mēroga izplatīšanas iespējas, izmantojot kompromitētas komunikācijas platformas.

Slepenas infekcijas ķēde, kas radīta izvairīšanai

Uzbrukums sākas ar ļaunprātīgu ZIP arhīvu, kurā ir MSI instalētājs, kas ļaunprātīgi izmanto likumīgi parakstītu Logitech lietojumprogrammu ar nosaukumu Logi AI Prompt Builder. Izmantojot DLL sānu ielādi, ļaunprogrammatūra piespiež uzticamo lietojumprogrammu ielādēt ļaunprātīgu bibliotēku ar nosaukumu “screen_retriever_plugin.dll”, kas darbojas kā galvenais ielādētājs.

Šajā ielādētājā ir iekļauta plaša sargsuņa apakšsistēma, kas īpaši izstrādāta, lai izvairītos no atklāšanas. Tā nepārtraukti skenē drošības un analīzes vides, tostarp atkļūdotājus, pretvīrusu produktus, disassemblerus, smilškastes un instrumentācijas rīkus. Izpilde tiek veikta tikai tad, kad DLL tiek palaists ar apstiprinātiem procesiem, piemēram, “logiaipromptbuilder.exe” vai “tclloader.exe”, pēdējais, visticamāk, ir saistīts ar iekšējo testēšanu.

Lai vēl vairāk izvairītos no drošības uzraudzības, ļaunprogrammatūra noņem lietotāja režīma aizķeres, ko galapunktu aizsardzības risinājumi ievietojuši failā “ntdll.dll”, un atspējo Windows notikumu izsekošanas (ETW) telemetriju. Tā arī izveido vairākus sistēmas pirkstu nospiedumus, pamatojoties uz atkļūdošanas novēršanas pārbaudēm, virtualizācijas noteikšanu, diska informāciju un operētājsistēmas valodas iestatījumiem. Šie pirkstu nospiedumi ģenerē vides jaucējkodu, ko izmanto iegultās vērtuma atšifrēšanai.

Ļaunprogrammatūra īpaši pārbauda, vai mērķa sistēma izmanto Brazīlijas portugāļu valodu. Jebkura norāde uz atkļūdošanu vai analīzi rada nepareizu jaucējkoda vērtību, novēršot veiksmīgu lietderīgās slodzes atšifrēšanu un pilnībā apturot izpildi.

Banku Trojas zirgu iespējas, kas paredzētas pilnīgai sistēmas kontrolei

Kad antianalīzes pārbaudes ir pabeigtas, tiek izvietots galvenais banku Trojas zirgs. Pēc tam, kad ir apstiprināts, ka sistēma pieder Brazīlijas lietotājam, ļaunprogrammatūra nodrošina pastāvīgu piekļuvi, veicot ieplānotus uzdevumus, un sazinās ar ārēju komandu un vadības serveri, izmantojot HTTP POST pieprasījumus, kas satur sistēmas informāciju.

TCLBANKER ietver pašatjaunināšanas funkcionalitāti un aktīvi uzrauga pārlūkprogrammas darbību, iegūstot URL no priekšplāna pārlūkprogrammas adreses joslas, izmantojot lietotāja interfeisa automatizācijas metodes. Ļaunprogrammatūra ir vērsta uz plaši izmantotām pārlūkprogrammām, tostarp:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Drosmīgs
  • Opera
  • Vivaldi

Kad tiek atklāta uzraudzīta bankas vai kriptovalūtas vietne, TCLBANKER atver WebSocket savienojumu ar attālo serveri un iesaistās komandu izpildes ciklā. Tas ļauj uzbrucējiem attālināti veikt plašu ļaunprātīgu darbību klāstu, tostarp sistēmas izlūkošanu, starpliktuves manipulēšanu, taustiņspiedienu reģistrēšanu, ekrānuzņēmumu uzņemšanu, ekrāna straumēšanu, attālinātu peles un tastatūras vadību, procesu pārvaldību un viltotu akreditācijas datu ievākšanas pārklājumu izvietošanu.

Paplašināta sociālā inženierija un akreditācijas datu zādzība

TCLBANKER lielā mērā paļaujas uz sociālo inženieriju, lai nozagtu sensitīvu informāciju. Ļaunprogrammatūra izmanto uz Windows prezentāciju fonda (WPF) balstītu pilnekrāna pārklājuma ietvaru, kas spēj attēlot ļoti pārliecinošas pikšķerēšanas saskarnes. Šie pārklājumi imitē likumīgus banku uzdevumus, viltotus Windows atjauninājumus, progresa joslas un balss pikšķerēšanas gaidīšanas ekrānus, kas paredzēti, lai manipulētu ar upuriem, lai tie atklātu akreditācijas datus.

Jāatzīmē, ka pārklājumi ir paslēpti no ekrāna uztveršanas utilītprogrammām, kas ievērojami apgrūtina atklāšanu un kriminālistisko analīzi.

WhatsApp un Outlook pārvērtās par ļaunprogrammatūras izplatīšanas rīkiem

Līdztekus banku Trojas zirgam ielādētājs izvieto tārpošanas komponentu, kas ir atbildīgs par infekcijas izplatīšanu plašā mērogā, izmantojot gan WhatsApp Web, gan Microsoft Outlook. WhatsApp modulis pārtver autentificētas pārlūka sesijas un izmanto atvērtā koda WPPConnect projektu, lai automatizētu ziņojumu piegādi upuru kontaktiem. Lai uzlabotu mērķauditorijas atlases efektivitāti, ļaunprogramma filtrē grupu tērzēšanu, apraides sarakstus un tālruņu numurus, kas nav no Brazīlijas.

Outlook komponents darbojas kā pikšķerēšanas surogātpasta robots, ļaunprātīgi izmantojot upura instalēto Microsoft Outlook lietojumprogrammu, lai izplatītu ļaunprātīgus e-pastus tieši no upura adreses. Tā kā šie ziņojumi nāk no likumīgiem kontiem un uzticamas infrastruktūras, tradicionālajiem surogātpasta filtriem un uz reputāciju balstītām drošības sistēmām ir grūtības atklāt ļaunprātīgu darbību.

Tiek ziņots, ka ļaunprogrammatūra var nosūtīt surogātpastu līdz pat 3000 kontaktiem, izmantojot kompromitētas WhatsApp sesijas un Outlook kontus, ievērojami palielinot kampaņas sasniedzamību, vienlaikus izmantojot esošās uzticības attiecības starp upuriem un viņu kontaktiem.

Pazīmes, kas liecina par paplašinātu draudu ainavu

Pētnieki uzskata, ka REF3076 joprojām ir agrīnā darbības stadijā. Tādi pierādījumi kā atkļūdošanas reģistrēšanas ceļi, nepabeigta pikšķerēšanas infrastruktūra un testēšanas procesu nosaukumi liecina, ka operatori turpina pilnveidot un paplašināt kampaņu.

TCLBANKER arī uzsver straujo attīstību Brazīlijas banku ļaunprogrammatūru ekosistēmā. Metodes, kas kādreiz bija saistītas tikai ar ļoti sarežģītiem apdraudējumu dalībniekiem, tagad parādās plaša patēriņa kibernoziegumu operācijās. Šīs iespējas ietver:

  • Uz vidi balstīta lietderīgās slodzes atšifrēšana
  • Tieša sistēmas izsaukuma ģenerēšana
  • Reāllaika WebSocket vadīta sociālā inženierija
  • Uzticamu ziņojumu izplatīšana, izmantojot nolaupītas saziņas platformas

Ļaunprātīgi izmantojot likumīgas WhatsApp un Outlook sesijas, TCLBANKER efektīvi apiet daudzas tradicionālās drošības aizsardzības. Kampaņa demonstrē, kā mūsdienu banku Trojas zirgi arvien vairāk apvieno progresīvas slepenības, automatizācijas un sociālās inženierijas metodes, lai izveidotu ļoti noturīgas un mērogojamas kibernoziedznieku operācijas.

Tendences

Jauna pasta sistēmas saskarnes versija E-pasta...

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem, kas prasa steidzamu rīcību, vienmēr jāizturas piesardzīgi, īpaši, ja tie ir saistīti ar konta verifikāciju, drošības uzlabojumiem vai pakalpojumu apturēšanu. Kibernoziedznieki bieži izmanto bailes un steidzamību, lai manipulētu ar adresātiem, lai tie atklātu sensitīvu informāciju. E-pasta kampaņa “Jaunā pasta sistēmas saskarnes versija” ir viena no šādām pikšķerēšanas...

E-pasta krāpniecība par pilnu iCloud krātuvi

Pikšķerēšana, Mēstules
Negaidīti e-pasti, kuros tiek apgalvots, ka konts ir apdraudēts vai tam nepieciešama steidzama rīcība, vienmēr jāuztver piesardzīgi. Kibernoziedznieki bieži uzdodas par uzticamiem zīmoliem un tiešsaistes pakalpojumiem, lai manipulētu ar adresātiem, panāktu, lai tie noklikšķina uz ļaunprātīgām saitēm, atklāj sensitīvu informāciju vai lejupielādē kaitīgus failus. Tā sauktie e-pasti “iCloud...

Visvairāk skatīts

Notiek ielāde...