Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware TCLBANKER Banktrojan

TCLBANKER Banktrojan

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een voorheen ongedocumenteerde Braziliaanse banktrojan ontdekt, bekend als TCLBANKER. Deze zeer geavanceerde malwarevariant is ontworpen om 59 bank-, fintech- en cryptovalutaplatformen aan te vallen. De campagne wordt momenteel gevolgd onder de naam REF3076 en wordt beschouwd als een belangrijke evolutie van de beruchte Maverick-malwarefamilie, die eerder in verband werd gebracht met het Water Saci-dreigingscluster.

TCLBANKER bouwt voort op eerdere aanvalsmethoden door geavanceerde anti-analysemechanismen, stealth-gerichte payload-levering en grootschalige verspreidingsmogelijkheden via gecompromitteerde communicatieplatformen te integreren.

Een sluipende infectieketen, ontworpen om te ontwijken.

De aanval begint met een kwaadaardig ZIP-archief dat een MSI-installatieprogramma bevat. Dit programma misbruikt een legitiem ondertekende Logitech-applicatie genaamd Logi AI Prompt Builder. Door middel van DLL-sideloading dwingt de malware de vertrouwde applicatie om een kwaadaardige bibliotheek met de naam 'screen_retriever_plugin.dll' te laden, die als primaire loader fungeert.

Deze loader bevat een uitgebreid bewakingssysteem dat specifiek is ontworpen om detectie te omzeilen. Het scant continu op beveiligings- en analyseomgevingen, waaronder debuggers, antivirusproducten, disassemblers, sandboxes en instrumentatietools. De uitvoering vindt alleen plaats wanneer de DLL wordt gestart door goedgekeurde processen zoals 'logiaipromptbuilder.exe' of 'tclloader.exe', waarbij de laatste waarschijnlijk gekoppeld is aan interne tests.

Om verdere beveiligingsmonitoring te omzeilen, verwijdert de malware gebruikersmodus-hooks die door endpointbeveiligingsoplossingen in 'ntdll.dll' zijn geplaatst en schakelt de telemetrie van Event Tracing for Windows (ETW) uit. Ook creëert de malware meerdere systeemvingerafdrukken op basis van anti-debuggingcontroles, virtualisatiedetectie, schijfinformatie en taalinstellingen van het besturingssysteem. Deze vingerafdrukken genereren een omgevingshash die wordt gebruikt om de ingebedde payload te decoderen.

De malware controleert specifiek of het doelsysteem Braziliaans Portugees gebruikt. Elke aanwijzing voor debugging of analyse resulteert in een onjuiste hashwaarde, waardoor de payload niet succesvol kan worden ontsleuteld en de uitvoering volledig wordt gestopt.

Mogelijkheden van een banktrojan, ontworpen voor volledige systeemcontrole.

Zodra de anti-analysecontroles zijn voltooid, wordt de primaire banktrojan ingezet. Nadat is bevestigd dat het systeem van een Braziliaanse gebruiker is, zorgt de malware voor persistentie door middel van geplande taken en neemt contact op met een externe command-and-controlserver via HTTP POST-verzoeken met systeeminformatie.

TCLBANKER beschikt over een zelfupdatefunctie en monitort actief de browseractiviteit door URL's uit de adresbalk van de actieve browser te halen via UI Automation-technieken. De malware is gericht op veelgebruikte browsers, waaronder:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Moedig
  • Opera
  • Vivaldi

Wanneer een bewaakte bank- of cryptowebsite wordt gedetecteerd, opent TCLBANKER een WebSocket-verbinding met een externe server en komt in een oneindige lus terecht. Dit stelt aanvallers in staat om op afstand een breed scala aan kwaadwillige activiteiten uit te voeren, waaronder systeemverkenning, manipulatie van het klembord, keylogging, het maken van schermafbeeldingen, schermstreaming, het op afstand besturen van muis en toetsenbord, procesbeheer en het implementeren van nep-overlays voor het verzamelen van inloggegevens.

Geavanceerde social engineering en diefstal van inloggegevens

TCLBANKER maakt veelvuldig gebruik van social engineering om gevoelige informatie te stelen. De malware gebruikt een op Windows Presentation Foundation (WPF) gebaseerd framework voor fullscreen-overlays dat zeer overtuigende phishing-interfaces kan weergeven. Deze overlays imiteren legitieme bankprompts, nep-Windows-updates, voortgangsbalken en voicephishing-wachtschermen, ontworpen om slachtoffers te manipuleren en hen ertoe te bewegen hun inloggegevens prijs te geven.

Opvallend is dat de overlays verborgen zijn voor schermopnameprogramma's, waardoor detectie en forensische analyse aanzienlijk moeilijker worden.

WhatsApp en Outlook veranderd in tools voor de verspreiding van malware.

Naast de banktrojan installeert de loader een wormcomponent die verantwoordelijk is voor de grootschalige verspreiding van de infectie via zowel WhatsApp Web als Microsoft Outlook. De WhatsApp-module kaapt geauthenticeerde browsersessies en gebruikt het open-source WPPConnect-project om de bezorging van berichten aan de contacten van de slachtoffers te automatiseren. Om de targetingefficiëntie te verbeteren, filtert de malware groepschats, uitzendlijsten en niet-Braziliaanse telefoonnummers eruit.

De Outlook-component functioneert als een phishing-spambot door misbruik te maken van de geïnstalleerde Microsoft Outlook-applicatie van het slachtoffer om kwaadwillende e-mails rechtstreeks vanaf het eigen e-mailadres van het slachtoffer te versturen. Omdat deze berichten afkomstig zijn van legitieme accounts en vertrouwde infrastructuren, hebben traditionele spamfilters en op reputatie gebaseerde beveiligingssystemen moeite om de kwaadwillende activiteit te detecteren.

De malware kan naar verluidt tot wel 3.000 contacten spammen via gehackte WhatsApp-sessies en Outlook-accounts, waardoor het bereik van de campagne aanzienlijk wordt vergroot en bestaande vertrouwensrelaties tussen slachtoffers en hun contacten worden misbruikt.

Tekenen van een zich uitbreidend dreigingslandschap

Onderzoekers denken dat REF3076 zich nog in een vroeg operationeel stadium bevindt. Bewijs zoals debug-logpaden, onvoltooide phishinginfrastructuur en testprocesnamen wijst erop dat de beheerders de campagne blijven verfijnen en uitbreiden.

TCLBANKER benadrukt ook de snelle evolutie binnen het Braziliaanse ecosysteem van malware voor de banksector. Technieken die voorheen alleen werden toegepast door zeer geavanceerde cybercriminelen, duiken nu op in alledaagse cybercriminaliteit. Deze mogelijkheden omvatten:

  • Omgevingsgebaseerde payloaddecryptie
  • Directe systeemoproepgeneratie
  • Realtime WebSocket-gestuurde sociale manipulatie
  • Verspreiding van betrouwbare berichten via gekaapte communicatieplatformen

Door misbruik te maken van legitieme WhatsApp- en Outlook-sessies omzeilt TCLBANKER effectief veel conventionele beveiligingsmaatregelen. De campagne laat zien hoe moderne banktrojans steeds vaker geavanceerde stealth-, automatiserings- en social engineering-technieken combineren om zeer veerkrachtige en schaalbare cybercriminele operaties te creëren.

Trending

Meest bekeken

Bezig met laden...