TCLBANKER बैंकिङ ट्रोजन
साइबर सुरक्षा अनुसन्धानकर्ताहरूले TCLBANKER भनेर चिनिने पहिले कागजात नभएको ब्राजिलियन बैंकिङ ट्रोजन पत्ता लगाएका छन्, जुन ५९ बैंकिङ, फिनटेक र क्रिप्टोकरेन्सी प्लेटफर्महरूलाई लक्षित गर्न डिजाइन गरिएको एक उच्च उन्नत मालवेयर स्ट्रेन हो। यो अभियान हाल REF3076 नाम अन्तर्गत ट्र्याक गरिएको छ र कुख्यात Maverick मालवेयर परिवारको महत्त्वपूर्ण विकासको प्रतिनिधित्व गर्ने विश्वास गरिन्छ, जुन पहिले वाटर सासी खतरा क्लस्टरसँग सम्बन्धित थियो।
TCLBANKER ले उन्नत एन्टी-विश्लेषण संयन्त्र, स्टिल्थ-केन्द्रित पेलोड डेलिभरी, र सम्झौता गरिएका सञ्चार प्लेटफर्महरू मार्फत ठूलो मात्रामा प्रसार क्षमताहरू एकीकृत गरेर पहिलेका आक्रमण विधिहरूमा विस्तार गर्दछ।
सामग्रीको तालिका
चोरीको लागि बनाइएको गोप्य संक्रमण शृङ्खला
आक्रमण MSI स्थापनाकर्ता भएको दुर्भावनापूर्ण ZIP संग्रहबाट सुरु हुन्छ जसले Logi AI Prompt Builder भनिने वैध रूपमा हस्ताक्षर गरिएको Logitech अनुप्रयोगको दुरुपयोग गर्दछ। DLL साइड-लोडिङ मार्फत, मालवेयरले विश्वसनीय अनुप्रयोगलाई 'screen_retriever_plugin.dll' नामक दुर्भावनापूर्ण पुस्तकालय लोड गर्न बाध्य पार्छ, जसले प्राथमिक लोडरको रूपमा काम गर्दछ।
यो लोडरले पत्ता लगाउनबाट बच्नको लागि विशेष रूपमा इन्जिनियर गरिएको एक व्यापक वाचडग उपप्रणाली समावेश गर्दछ। यसले डिबगरहरू, एन्टिभाइरस उत्पादनहरू, डिसेम्बलरहरू, स्यान्डबक्सहरू, र उपकरण उपकरणहरू सहित सुरक्षा र विश्लेषण वातावरणहरूको लागि निरन्तर स्क्यान गर्दछ। 'logiaipromptbuilder.exe' वा 'tclloader.exe' जस्ता अनुमोदित प्रक्रियाहरूद्वारा DLL सुरु गर्दा मात्र कार्यान्वयन अगाडि बढ्छ, पछिल्लो सम्भवतः आन्तरिक परीक्षणसँग जोडिएको हुन्छ।
सुरक्षा अनुगमनबाट बच्नको लागि, मालवेयरले एन्डपोइन्ट सुरक्षा समाधानहरूद्वारा 'ntdll.dll' भित्र राखिएका प्रयोगकर्तामोड हुकहरू हटाउँछ र विन्डोज (ETW) टेलिमेट्रीको लागि घटना ट्रेसिङलाई असक्षम पार्छ। यसले एन्टी-डिबगिङ जाँचहरू, भर्चुअलाइजेशन पत्ता लगाउने, डिस्क जानकारी, र अपरेटिङ सिस्टम भाषा सेटिङहरूमा आधारित बहु प्रणाली फिंगरप्रिन्टहरू पनि सिर्जना गर्दछ। यी फिंगरप्रिन्टहरूले एम्बेडेड पेलोड डिक्रिप्ट गर्न प्रयोग गरिने वातावरण ह्यास उत्पन्न गर्दछ।
मालवेयरले विशेष रूपमा लक्षित प्रणालीले ब्राजिलियन पोर्चुगिज प्रयोग गर्छ कि गर्दैन भनेर प्रमाणित गर्छ। डिबगिङ वा विश्लेषणको कुनै पनि संकेतले गलत ह्यास मानमा परिणाम दिन्छ, सफल पेलोड डिक्रिप्शनलाई रोक्छ र कार्यान्वयन पूर्ण रूपमा रोक्छ।
पूर्ण प्रणाली नियन्त्रणको लागि डिजाइन गरिएको बैंकिङ ट्रोजन क्षमताहरू
एकपटक एन्टी-एनालिसिस जाँचहरू पूरा भएपछि, प्राथमिक बैंकिङ ट्रोजन तैनाथ गरिन्छ। प्रणाली ब्राजिलियन प्रयोगकर्ताको हो भनेर पुष्टि गरेपछि, मालवेयरले निर्धारित कार्यहरू मार्फत दृढता स्थापित गर्दछ र प्रणाली जानकारी समावेश गर्ने HTTP POST अनुरोधहरू प्रयोग गरेर बाह्य कमाण्ड-एन्ड-नियन्त्रण सर्भरलाई सम्पर्क गर्दछ।
TCLBANKER ले स्व-अपडेट कार्यक्षमता समावेश गर्दछ र UI स्वचालन प्रविधिहरू मार्फत अग्रभूमि ब्राउजरको ठेगाना पट्टीबाट URL हरू निकालेर ब्राउजर गतिविधिलाई सक्रिय रूपमा निगरानी गर्दछ। मालवेयरले व्यापक रूपमा प्रयोग हुने ब्राउजरहरूलाई लक्षित गर्दछ, जसमा समावेश छन्:
- गुगल क्रोम
- मोजिल्ला फायरफक्स
- माइक्रोसफ्ट एज
- बहादुर
- ओपेरा
- भिभाल्डी
जब निगरानी गरिएको बैंकिङ वा क्रिप्टोकरेन्सी वेबसाइट पत्ता लाग्छ, TCLBANKER ले रिमोट सर्भरमा वेबसकेट जडान खोल्छ र कमाण्ड कार्यान्वयन लूपमा प्रवेश गर्छ। यसले आक्रमणकारीहरूलाई टाढाबाटै प्रणाली पुनर्जागरण, क्लिपबोर्ड हेरफेर, किलगिङ, स्क्रिनसट क्याप्चर, स्क्रिन स्ट्रिमिङ, रिमोट माउस र किबोर्ड नियन्त्रण, प्रक्रिया व्यवस्थापन, र नक्कली क्रेडेन्सियल-हार्वेस्टिङ ओभरलेहरूको तैनाती सहित विस्तृत दायराका दुर्भावनापूर्ण गतिविधिहरू गर्न सक्षम बनाउँछ।
उन्नत सामाजिक इन्जिनियरिङ र प्रमाणपत्र चोरी
TCLBANKER संवेदनशील जानकारी चोर्न सामाजिक इन्जिनियरिङमा धेरै निर्भर गर्दछ। मालवेयरले विन्डोज प्रस्तुतीकरण फाउन्डेसन (WPF) मा आधारित पूर्ण-स्क्रिन ओभरले फ्रेमवर्क प्रयोग गर्दछ जुन अत्यधिक विश्वस्त फिसिङ इन्टरफेसहरू प्रदर्शन गर्न सक्षम छ। यी ओभरलेहरूले वैध बैंकिङ प्रम्प्टहरू, नक्कली विन्डोज अपडेटहरू, प्रगति पट्टीहरू, र भ्वाइस-फिसिङ प्रतीक्षा स्क्रिनहरूको नक्कल गर्दछ जसले पीडितहरूलाई खुलासा गर्ने प्रमाणहरूमा हेरफेर गर्न डिजाइन गरिएको हो।
उल्लेखनीय रूपमा, ओभरलेहरू स्क्रिन-क्याप्चर उपयोगिताहरूबाट लुकाइएका छन्, जसले गर्दा पत्ता लगाउने र फोरेन्सिक विश्लेषणलाई उल्लेखनीय रूपमा गाह्रो बनाउँछ।
व्हाट्सएप र आउटलुक मालवेयर वितरण उपकरणमा परिणत भए
बैंकिङ ट्रोजनसँगै, लोडरले व्हाट्सएप वेब र माइक्रोसफ्ट आउटलुक दुवै मार्फत संक्रमण फैलाउन जिम्मेवार वर्मिङ कम्पोनेन्ट तैनाथ गर्दछ। व्हाट्सएप मोड्युलले प्रमाणित ब्राउजर सत्रहरू अपहरण गर्दछ र पीडितहरूको सम्पर्कहरूमा सन्देश डेलिभरी स्वचालित गर्न खुला-स्रोत WPPConnect परियोजना प्रयोग गर्दछ। लक्ष्यीकरण दक्षता सुधार गर्न, मालवेयरले समूह च्याटहरू, प्रसारण सूचीहरू, र गैर-ब्राजिलियन फोन नम्बरहरूलाई फिल्टर गर्दछ।
आउटलुक कम्पोनेन्टले पीडितको स्थापित माइक्रोसफ्ट आउटलुक अनुप्रयोगको दुरुपयोग गरेर पीडितको आफ्नै ठेगानाबाट सिधै दुर्भावनापूर्ण इमेलहरू वितरण गरेर फिसिङ स्प्यामबोटको रूपमा काम गर्दछ। यी सन्देशहरू वैध खाताहरू र विश्वसनीय पूर्वाधारबाट उत्पन्न हुने भएकाले, परम्परागत स्पाम फिल्टरहरू र प्रतिष्ठा-आधारित सुरक्षा प्रणालीहरूले दुर्भावनापूर्ण गतिविधि पत्ता लगाउन संघर्ष गर्छन्।
मालवेयरले सम्झौता गरिएका व्हाट्सएप सत्रहरू र आउटलुक खाताहरू प्रयोग गरेर ३,००० सम्पर्कहरू स्प्याम गर्न सक्ने रिपोर्ट गरिएको छ, जसले पीडितहरू र उनीहरूका सम्पर्कहरू बीचको अवस्थित विश्वास सम्बन्धको शोषण गर्दै अभियानको पहुँच नाटकीय रूपमा बढाउँछ।
विस्तारित खतरा परिदृश्यका संकेतहरू
अनुसन्धानकर्ताहरू विश्वास गर्छन् कि REF3076 अझै पनि यसको प्रारम्भिक सञ्चालन चरणमा छ। डिबग लगिङ मार्गहरू, अधूरा फिसिङ पूर्वाधार, र परीक्षण प्रक्रिया नामहरू जस्ता प्रमाणहरूले अपरेटरहरूले अभियानलाई परिष्कृत र विस्तार गर्न जारी राखेको सुझाव दिन्छ।
TCLBANKER ले ब्राजिलियन बैंकिङ मालवेयर इकोसिस्टम भित्र हुने द्रुत विकासलाई पनि प्रकाश पार्छ। पहिले अत्यधिक परिष्कृत खतरा अभिनेताहरूसँग सम्बन्धित प्रविधिहरू अब कमोडिटी साइबर अपराध सञ्चालनमा देखा पर्न थालेका छन्। यी क्षमताहरूमा समावेश छन्:
- वातावरणमा आधारित पेलोड डिक्रिप्शन
- प्रत्यक्ष सिस्टमकल उत्पादन
- वास्तविक-समय वेबसकेट-संचालित सामाजिक इन्जिनियरिङ
- अपहरण गरिएका सञ्चार प्लेटफर्महरू मार्फत विश्वसनीय-सन्देश प्रसार
वैध व्हाट्सएप र आउटलुक सत्रहरूको दुरुपयोग गरेर, TCLBANKER ले धेरै परम्परागत सुरक्षा प्रतिरक्षाहरूलाई प्रभावकारी रूपमा बाइपास गर्दछ। अभियानले देखाउँछ कि कसरी आधुनिक बैंकिङ ट्रोजनहरूले अत्यधिक लचिलो र स्केलेबल साइबर आपरेशनहरू सिर्जना गर्न उन्नत स्टिल्थ, स्वचालन, र सामाजिक इन्जिनियरिङ प्रविधिहरूलाई बढ्दो रूपमा मिश्रण गरिरहेका छन्।
