Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Trojan bankowy TCLBANKER

Trojan bankowy TCLBANKER

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli wcześniej nieudokumentowanego brazylijskiego trojana bankowego znanego jako TCLBANKER, wysoce zaawansowanego szczepu złośliwego oprogramowania, którego celem jest 59 platform bankowych, fintechowych i kryptowalutowych. Kampania jest obecnie śledzona pod nazwą REF3076 i uważa się, że stanowi znaczącą ewolucję niesławnej rodziny złośliwego oprogramowania Maverick, wcześniej powiązanej z klastrem zagrożeń Water Saci.

TCLBANKER rozszerza wcześniejsze metody ataków, integrując zaawansowane mechanizmy ochrony przed analizą, dostarczanie ładunków w sposób ukryty i możliwości rozprzestrzeniania na dużą skalę za pośrednictwem zainfekowanych platform komunikacyjnych.

Ukryty łańcuch infekcji stworzony do unikania

Atak rozpoczyna się od złośliwego archiwum ZIP zawierającego instalator MSI, który wykorzystuje legalnie podpisaną aplikację Logitech o nazwie Logi AI Prompt Builder. Poprzez boczne ładowanie bibliotek DLL, złośliwe oprogramowanie zmusza zaufaną aplikację do załadowania złośliwej biblioteki o nazwie „screen_retriever_plugin.dll”, która działa jako główny moduł ładujący.

Ten moduł ładujący zawiera rozbudowany podsystem nadzorujący (watchdog) zaprojektowany specjalnie w celu uniknięcia wykrycia. Nieustannie skanuje on środowiska bezpieczeństwa i analizy, w tym debugery, programy antywirusowe, disasemblery, środowiska testowe (sandboxy) i narzędzia instrumentacyjne. Wykonywanie jest kontynuowane tylko wtedy, gdy biblioteka DLL jest uruchamiana przez zatwierdzone procesy, takie jak „logiaipromptbuilder.exe” lub „tclloader.exe”, przy czym ten ostatni prawdopodobnie jest powiązany z testami wewnętrznymi.

Aby jeszcze bardziej ograniczyć monitorowanie bezpieczeństwa, złośliwe oprogramowanie usuwa haki trybu użytkownika umieszczone w pliku „ntdll.dll” przez rozwiązania ochrony punktów końcowych i wyłącza telemetrię śledzenia zdarzeń systemu Windows (ETW). Tworzy również wiele odcisków palców systemu w oparciu o testy antydebugowe, wykrywanie wirtualizacji, informacje o dysku i ustawienia językowe systemu operacyjnego. Te odciski palców generują skrót środowiska używany do odszyfrowania osadzonego ładunku.

Szkodliwe oprogramowanie weryfikuje, czy system docelowy używa brazylijskiego języka portugalskiego. Wszelkie próby debugowania lub analizy powodują nieprawidłową wartość skrótu, uniemożliwiając skuteczne odszyfrowanie danych i całkowicie zatrzymując działanie.

Możliwości trojana bankowego zaprojektowane do pełnej kontroli systemu

Po zakończeniu kontroli anty-analitycznych, wdrażany jest główny trojan bankowy. Po potwierdzeniu, że system należy do brazylijskiego użytkownika, złośliwe oprogramowanie ustanawia trwałość poprzez zaplanowane zadania i kontaktuje się z zewnętrznym serwerem poleceń i kontroli za pomocą żądań HTTP POST zawierających informacje o systemie.

TCLBANKER zawiera funkcję automatycznej aktualizacji i aktywnie monitoruje aktywność przeglądarki, wyodrębniając adresy URL z paska adresu przeglądarki działającej na pierwszym planie za pomocą technik automatyzacji interfejsu użytkownika. Szkodliwe oprogramowanie atakuje powszechnie używane przeglądarki, w tym:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Odważny
  • Opera
  • Vivaldi

Po wykryciu monitorowanej witryny bankowej lub kryptowalutowej, TCLBANKER otwiera połączenie WebSocket ze zdalnym serwerem i wchodzi w pętlę wykonywania poleceń. Umożliwia to atakującym zdalne wykonywanie szerokiego zakresu złośliwych działań, w tym rekonesans systemu, manipulację schowkiem, keylogger, przechwytywanie zrzutów ekranu, strumieniowanie zawartości ekranu, zdalne sterowanie myszą i klawiaturą, zarządzanie procesami oraz wdrażanie fałszywych nakładek do zbierania danych uwierzytelniających.

Zaawansowana inżynieria społeczna i kradzież danych uwierzytelniających

TCLBANKER w dużej mierze opiera się na socjotechnice, aby wykraść poufne informacje. Szkodliwe oprogramowanie wykorzystuje platformę pełnoekranowych nakładek opartą na platformie Windows Presentation Foundation (WPF), która umożliwia wyświetlanie bardzo przekonujących interfejsów phishingowych. Nakładki te imitują legalne komunikaty bankowe, fałszywe aktualizacje systemu Windows, paski postępu i ekrany oczekiwania na phishing głosowy, mające na celu nakłonienie ofiar do ujawnienia danych uwierzytelniających.

Warto zauważyć, że nakładki są niewidoczne dla narzędzi do przechwytywania ekranu, co znacznie utrudnia ich wykrycie i analizę kryminalistyczną.

WhatsApp i Outlook stały się narzędziami do dystrybucji złośliwego oprogramowania

Oprócz trojana bankowego, loader wdraża komponent robaka odpowiedzialny za rozprzestrzenianie infekcji na dużą skalę za pośrednictwem WhatsApp Web i Microsoft Outlook. Moduł WhatsApp przechwytuje uwierzytelnione sesje przeglądarki i wykorzystuje projekt open source WPPConnect do automatyzacji dostarczania wiadomości do kontaktów ofiar. Aby zwiększyć skuteczność namierzania, złośliwe oprogramowanie filtruje czaty grupowe, listy rozgłoszeniowe i numery telefonów spoza Brazylii.

Komponent Outlook działa jak spambot phishingowy, wykorzystując zainstalowaną aplikację Microsoft Outlook ofiary do rozsyłania złośliwych wiadomości e-mail bezpośrednio z jej adresu. Ponieważ wiadomości te pochodzą z legalnych kont i zaufanej infrastruktury, tradycyjne filtry spamu i systemy bezpieczeństwa oparte na reputacji mają trudności z wykryciem złośliwej aktywności.

Jak podają źródła, złośliwe oprogramowanie potrafi rozsyłać spam do nawet 3000 kontaktów, wykorzystując w tym celu przejęte sesje WhatsApp i konta Outlook. W ten sposób znacznie zwiększa się zasięg kampanii, a jednocześnie wykorzystuje się istniejące relacje zaufania między ofiarami a ich kontaktami.

Oznaki rozszerzającego się krajobrazu zagrożeń

Badacze uważają, że REF3076 jest wciąż na wczesnym etapie operacyjnym. Dowody, takie jak ścieżki logowania debugowania, niedokończona infrastruktura phishingowa i nazwy procesów testowych, sugerują, że operatorzy nadal udoskonalają i rozszerzają kampanię.

TCLBANKER podkreśla również szybką ewolucję zachodzącą w brazylijskim ekosystemie złośliwego oprogramowania bankowego. Techniki, które kiedyś były kojarzone wyłącznie z wysoce wyrafinowanymi cyberprzestępcami, pojawiają się obecnie w operacjach cyberprzestępczości towarowej. Możliwości te obejmują:

  • Odszyfrowywanie ładunku w oparciu o środowisko
  • Bezpośrednie generowanie wywołań systemowych
  • Inżynieria społeczna oparta na protokole WebSocket w czasie rzeczywistym
  • Propagacja zaufanych wiadomości poprzez przejęte platformy komunikacyjne

Wykorzystując legalne sesje WhatsApp i Outlook, TCLBANKER skutecznie omija wiele konwencjonalnych zabezpieczeń. Kampania pokazuje, jak współczesne trojany bankowe coraz częściej łączą zaawansowane techniki ukrywania się, automatyzacji i socjotechniki, aby tworzyć wysoce odporne i skalowalne operacje cyberprzestępcze.

Popularne

Nowa wersja interfejsu systemu pocztowego – oszustwo...

Phishing, Spam
Nieoczekiwane wiadomości e-mail wymagające pilnego działania należy zawsze traktować z ostrożnością, zwłaszcza gdy dotyczą weryfikacji konta, aktualizacji zabezpieczeń lub zawieszonych usług. Cyberprzestępcy często wykorzystują strach i pilną potrzebę kontaktu, aby manipulować odbiorcami i nakłonić ich do ujawnienia poufnych informacji. Kampania e-mailowa „Nowa wersja interfejsu systemu...

Oszustwo związane z pełną pocztą e-mail w usłudze...

Phishing, Spam
Nieoczekiwane wiadomości e-mail, w których twierdzono, że konto jest zagrożone lub wymaga pilnego działania, należy zawsze traktować z ostrożnością. Cyberprzestępcy często podszywają się pod zaufane marki i serwisy internetowe, aby nakłonić odbiorców do kliknięcia w złośliwe linki, ujawnienia poufnych informacji lub pobrania szkodliwych plików. Tak zwane wiadomości e-mail „iCloud Storage Full”...

Najczęściej oglądane

Ładowanie...