TCLBANKER Banktrojaner
Forskere innen nettsikkerhet har avdekket en tidligere udokumentert brasiliansk banktrojaner kjent som TCLBANKER, en svært avansert skadevarestamme designet for å målrette 59 bank-, fintech- og kryptovalutaplattformer. Kampanjen spores for tiden under navnet REF3076 og antas å representere en betydelig utvikling av den beryktede Maverick-skadevarefamilien, tidligere assosiert med trusselklyngen Water Saci.
TCLBANKER utvider tidligere angrepsmetoder ved å integrere avanserte antianalysemekanismer, stealth-fokusert levering av nyttelast og storskala forplantningsmuligheter gjennom kompromitterte kommunikasjonsplattformer.
Innholdsfortegnelse
En snikende infeksjonskjede bygget for unnvikelse
Angrepet starter med et ondsinnet ZIP-arkiv som inneholder et MSI-installasjonsprogram som misbruker et legitimt signert Logitech-program kalt Logi AI Prompt Builder. Gjennom DLL-sidelasting tvinger skadevaren det pålitelige programmet til å laste inn et ondsinnet bibliotek kalt «screen_retriever_plugin.dll», som fungerer som primær laster.
Denne lasteren har et omfattende overvåkingssystem som er spesielt utviklet for å unngå deteksjon. Den skanner kontinuerlig etter sikkerhets- og analysemiljøer, inkludert feilsøkingsprogrammer, antivirusprodukter, demonteringsprogrammer, sandkasser og instrumenteringsverktøy. Kjøringen fortsetter bare når DLL-en startes av godkjente prosesser som «logiaipromptbuilder.exe» eller «tclloader.exe», hvor sistnevnte sannsynligvis er knyttet til intern testing.
For ytterligere å unngå sikkerhetsovervåking fjerner skadevaren brukermodus-kroker plassert i 'ntdll.dll' av endepunktbeskyttelsesløsninger og deaktiverer Event Tracing for Windows (ETW)-telemetri. Den oppretter også flere systemfingeravtrykk basert på anti-feilsøkingskontroller, virtualiseringsdeteksjon, diskinformasjon og språkinnstillinger for operativsystemet. Disse fingeravtrykkene genererer en miljø-hash som brukes til å dekryptere den innebygde nyttelasten.
Skadevaren validerer spesifikt om målsystemet bruker brasiliansk portugisisk. Enhver indikasjon på feilsøking eller analyse resulterer i en feil hash-verdi, noe som forhindrer vellykket dekryptering av nyttelasten og stopper kjøringen fullstendig.
Banktrojanerfunksjoner designet for full systemkontroll
Når anti-analysekontrollene er fullført, distribueres den primære banktrojaneren. Etter å ha bekreftet at systemet tilhører en brasiliansk bruker, etablerer skadevaren persistens gjennom planlagte oppgaver og kontakter en ekstern kommando- og kontrollserver ved hjelp av HTTP POST-forespørsler som inneholder systeminformasjon.
TCLBANKER inkluderer funksjonalitet for selvoppdatering og overvåker aktivt nettleseraktivitet ved å trekke ut URL-er fra adressefeltet i forgrunnen av nettleseren gjennom UI-automatiseringsteknikker. Skadevaren retter seg mot mye brukte nettlesere, inkludert:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Modig
- Opera
- Vivaldi
Når et overvåket bank- eller kryptovalutanettsted oppdages, åpner TCLBANKER en WebSocket-tilkobling til en ekstern server og går inn i en kommandokjøringsløkke. Dette gjør det mulig for angripere å utføre et bredt spekter av ondsinnede aktiviteter eksternt, inkludert systemrekognosering, manipulering av utklippstavler, tastelogging, skjermdumping, skjermstrømming, fjernkontroll av mus og tastatur, prosessadministrasjon og utrulling av falske overlegg for innsamling av legitimasjon.
Avansert sosial manipulering og legitimasjonstyveri
TCLBANKER er i stor grad avhengig av sosial manipulering for å stjele sensitiv informasjon. Skadevaren bruker et Windows Presentation Foundation (WPF)-basert fullskjermsoverleggsrammeverk som er i stand til å vise svært overbevisende phishing-grensesnitt. Disse overleggene imiterer legitime bankforespørsler, falske Windows-oppdateringer, fremdriftslinjer og venteskjermer for stemme-phishing som er utformet for å manipulere ofre til å avsløre legitimasjon.
Det er verdt å merke seg at overleggene er skjult fra skjermbildeverktøy, noe som gjør deteksjon og rettsmedisinsk analyse betydelig vanskeligere.
WhatsApp og Outlook ble til verktøy for distribusjon av skadelig programvare
Ved siden av banktrojaneren bruker lasteprogrammet en ormekurkomponent som er ansvarlig for å spre infeksjonen i stor skala gjennom både WhatsApp Web og Microsoft Outlook. WhatsApp-modulen kaprer autentiserte nettleserøkter og bruker det åpne kildekode-prosjektet WPPConnect for å automatisere levering av meldinger til ofrenes kontakter. For å forbedre målrettingseffektiviteten filtrerer skadevaren ut gruppechatter, kringkastingslister og ikke-brasilianske telefonnumre.
Outlook-komponenten fungerer som en phishing-spambot ved å misbruke offerets installerte Microsoft Outlook-program til å distribuere ondsinnede e-poster direkte fra offerets egen adresse. Fordi disse meldingene kommer fra legitime kontoer og pålitelig infrastruktur, sliter tradisjonelle spamfiltre og omdømmebaserte sikkerhetssystemer med å oppdage den ondsinnede aktiviteten.
Skadevaren kan angivelig sende spam til opptil 3000 kontakter ved hjelp av kompromitterte WhatsApp-økter og Outlook-kontoer, noe som øker kampanjens rekkevidde dramatisk samtidig som den utnytter eksisterende tillitsforhold mellom ofrene og kontaktene deres.
Tegn på et voksende trussellandskap
Forskere mener at REF3076 fortsatt er i en tidlig driftsfase. Bevis som feilsøkingsloggingsbaner, uferdig phishing-infrastruktur og navn på testprosesser tyder på at operatørene fortsetter å forbedre og utvide kampanjen.
TCLBANKER fremhever også den raske utviklingen som skjer innenfor det brasilianske økosystemet for bankskadevare. Teknikker som tidligere bare ble assosiert med svært sofistikerte trusselaktører, dukker nå opp i operasjoner med nettkriminalitet fra råvarer. Disse funksjonene inkluderer:
- Miljøbasert nyttelastdekryptering
- Direkte generering av syscall
- Sanntids WebSocket-drevet sosial manipulering
- Spredning av klarerte meldinger gjennom kaprede kommunikasjonsplattformer
Ved å misbruke legitime WhatsApp- og Outlook-økter omgår TCLBANKER effektivt mange konvensjonelle sikkerhetsforsvar. Kampanjen demonstrerer hvordan moderne banktrojanere i økende grad blander avansert stealth-, automatiserings- og sosial manipuleringsteknikker for å skape svært robuste og skalerbare nettkriminelle operasjoner.
