Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian Hasad Mudah Alih Trojan Perbankan TCLBANKER

Trojan Perbankan TCLBANKER

Menjelang Mezo pada Perisian Hasad Mudah Alih, Trojan Perbankan
Terjemahkan ke

Penyelidik keselamatan siber telah menemui trojan perbankan Brazil yang sebelum ini tidak didokumenkan yang dikenali sebagai TCLBANKER, sejenis strain perisian hasad yang sangat canggih yang direka untuk menyasarkan 59 platform perbankan, fintech dan mata wang kripto. Kempen ini kini dijejaki di bawah nama REF3076 dan dipercayai mewakili evolusi penting keluarga perisian hasad Maverick yang terkenal, yang sebelum ini dikaitkan dengan kluster ancaman Water Saci.

TCLBANKER mengembangkan kaedah serangan terdahulu dengan mengintegrasikan mekanisme anti-analisis lanjutan, penghantaran muatan yang berfokus pada senyap dan keupayaan penyebaran berskala besar melalui platform komunikasi yang terjejas.

Rantaian Jangkitan Tersembunyi Dibina untuk Pengelakan

Serangan itu bermula dengan arkib ZIP berniat jahat yang mengandungi pemasang MSI yang menyalahgunakan aplikasi Logitech yang ditandatangani secara sah yang dipanggil Logi AI Prompt Builder. Melalui pemuatan sisi DLL, perisian hasad tersebut memaksa aplikasi yang dipercayai untuk memuatkan pustaka berniat jahat bernama 'screen_retriever_plugin.dll', yang bertindak sebagai pemuat utama.

Pemuat ini menggabungkan subsistem pengawas yang luas yang direka bentuk khusus untuk mengelakkan pengesanan. Ia sentiasa mengimbas persekitaran keselamatan dan analisis, termasuk penyahpepijat, produk antivirus, pembongkar, kotak pasir dan alat instrumentasi. Pelaksanaan hanya akan berlaku apabila DLL dilancarkan oleh proses yang diluluskan seperti 'logiaipromptbuilder.exe' atau 'tclloader.exe', yang kemungkinan besar dikaitkan dengan ujian dalaman.

Untuk mengelakkan pemantauan keselamatan selanjutnya, perisian hasad ini mengalih keluar cangkuk mod pengguna yang diletakkan dalam 'ntdll.dll' oleh penyelesaian perlindungan titik akhir dan melumpuhkan telemetri Pengesanan Peristiwa untuk Windows (ETW). Ia juga mencipta berbilang cap jari sistem berdasarkan pemeriksaan anti-penyahpepijatan, pengesanan virtualisasi, maklumat cakera dan tetapan bahasa sistem pengendalian. Cap jari ini menjana hash persekitaran yang digunakan untuk menyahsulit muatan terbenam.

Perisian hasad ini secara khusus mengesahkan sama ada sistem sasaran menggunakan bahasa Portugis Brazil. Sebarang petunjuk penyahpepijatan atau analisis mengakibatkan nilai hash yang salah, menghalang penyahsulitan muatan yang berjaya dan menghentikan pelaksanaan sepenuhnya.

Keupayaan Trojan Perbankan Direka untuk Kawalan Sistem Penuh

Sebaik sahaja pemeriksaan anti-analisis selesai, trojan perbankan utama akan digunakan. Selepas mengesahkan sistem tersebut milik pengguna Brazil, perisian hasad tersebut akan mewujudkan kegigihan melalui tugasan yang dijadualkan dan menghubungi pelayan arahan dan kawalan luaran menggunakan permintaan HTTP POST yang mengandungi maklumat sistem.

TCLBANKER merangkumi fungsi kemas kini kendiri dan memantau secara aktif aktiviti pelayar dengan mengekstrak URL daripada bar alamat pelayar latar depan melalui teknik Automasi UI. Malware ini menyasarkan pelayar yang digunakan secara meluas, termasuk:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Berani
  • Opera
  • Vivaldi

Apabila laman web perbankan atau mata wang kripto yang dipantau dikesan, TCLBANKER membuka sambungan WebSocket ke pelayan jauh dan memasuki gelung pelaksanaan arahan. Ini membolehkan penyerang melakukan pelbagai aktiviti berniat jahat dari jauh, termasuk peninjauan sistem, manipulasi papan klip, pengelogan kekunci, tangkapan skrin, penstriman skrin, kawalan tetikus dan papan kekunci jauh, pengurusan proses dan penggunaan tindanan pengumpulan kelayakan palsu.

Kejuruteraan Sosial Lanjutan dan Kecurian Kelayakan

TCLBANKER banyak bergantung pada kejuruteraan sosial untuk mencuri maklumat sensitif. Perisian hasad ini menggunakan rangka kerja tindanan skrin penuh berasaskan Windows Presentation Foundation (WPF) yang mampu memaparkan antara muka pancingan data yang sangat meyakinkan. Tindanan ini meniru gesaan perbankan yang sah, kemas kini Windows palsu, bar kemajuan dan skrin menunggu pancingan data suara yang direka untuk memanipulasi mangsa agar mendedahkan kelayakan.

Terutamanya, lapisan tersembunyi daripada utiliti tangkapan skrin, menjadikan pengesanan dan analisis forensik jauh lebih sukar.

WhatsApp dan Outlook Bertukar Menjadi Alat Pengedaran Perisian Hasad

Di samping trojan perbankan, pemuat menggunakan komponen cacing yang bertanggungjawab untuk menyebarkan jangkitan secara besar-besaran melalui WhatsApp Web dan Microsoft Outlook. Modul WhatsApp merampas sesi pelayar yang disahkan dan menggunakan projek WPPConnect sumber terbuka untuk mengautomasikan penghantaran mesej kepada kenalan mangsa. Untuk meningkatkan kecekapan penyasaran, perisian hasad menapis sembang kumpulan, senarai siaran dan nombor telefon bukan Brazil.

Komponen Outlook berfungsi sebagai spambot pancingan data dengan menyalahgunakan aplikasi Microsoft Outlook yang dipasang oleh mangsa untuk mengedarkan e-mel berniat jahat terus daripada alamat mangsa sendiri. Oleh kerana mesej ini berasal daripada akaun yang sah dan infrastruktur yang dipercayai, penapis spam tradisional dan sistem keselamatan berasaskan reputasi menghadapi kesukaran untuk mengesan aktiviti berniat jahat tersebut.

Perisian hasad itu dilaporkan boleh menghantar spam kepada sehingga 3,000 kenalan menggunakan sesi WhatsApp dan akaun Outlook yang diceroboh, sekali gus meningkatkan jangkauan kempen secara mendadak sambil mengeksploitasi hubungan kepercayaan sedia ada antara mangsa dan kenalan mereka.

Tanda-tanda Lanskap Ancaman yang Semakin Berkembang

Penyelidik percaya REF3076 masih dalam peringkat operasi awal. Bukti seperti laluan pembalakan debug, infrastruktur pancingan data yang belum selesai dan nama proses ujian menunjukkan bahawa pengendali terus memperhalusi dan mengembangkan kempen tersebut.

TCLBANKER juga mengetengahkan evolusi pesat yang berlaku dalam ekosistem perisian hasad perbankan Brazil. Teknik yang dahulunya hanya dikaitkan dengan pelaku ancaman yang sangat canggih kini muncul dalam operasi jenayah siber komoditi. Keupayaan ini termasuk:

  • Penyahsulitan muatan berasaskan persekitaran
  • Penjanaan sistemik langsung
  • Kejuruteraan sosial berasaskan WebSocket masa nyata
  • Penyebaran mesej yang dipercayai melalui platform komunikasi yang dirampas

Dengan menyalahgunakan sesi WhatsApp dan Outlook yang sah, TCLBANKER berkesan memintas banyak pertahanan keselamatan konvensional. Kempen ini menunjukkan bagaimana trojan perbankan moden semakin menggabungkan teknik stealth, automasi dan kejuruteraan sosial yang canggih untuk mewujudkan operasi penjenayah siber yang sangat berdaya tahan dan boleh diskala.

Trending

Paling banyak dilihat

Memuatkan...