Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Trojan bancar TCLBANKER

Trojan bancar TCLBANKER

Până în Mezo în Malware mobil, Troian bancar
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit un troian bancar brazilian nedocumentat anterior, cunoscut sub numele de TCLBANKER, o tulpină de malware extrem de avansată, concepută să vizeze 59 de platforme bancare, fintech și criptomonede. Campania este urmărită în prezent sub numele REF3076 și se crede că reprezintă o evoluție semnificativă a celebrei familii de malware Maverick, asociată anterior cu clusterul de amenințări Water Saci.

TCLBANKER extinde metodele de atac anterioare prin integrarea unor mecanisme avansate de anti-analiză, livrarea de sarcină utilă axată pe stealth și capacități de propagare la scară largă prin platforme de comunicații compromise.

Un lanț de infecții ascuns construit pentru evaziune

Atacul începe cu o arhivă ZIP malițioasă care conține un program de instalare MSI care abuzează de o aplicație Logitech semnată legitim, numită Logi AI Prompt Builder. Prin încărcarea laterală a DLL-urilor, malware-ul forțează aplicația de încredere să încarce o bibliotecă malițioasă numită „screen_retriever_plugin.dll”, care acționează ca încărcător principal.

Acest încărcător încorporează un subsistem extins de supraveghere, special conceput pentru a evita detectarea. Scanează continuu mediile de securitate și analiză, inclusiv depanatoare, produse antivirus, dezasamblatoare, sandbox-uri și instrumente de instrumentare. Execuția continuă numai atunci când DLL-ul este lansat de procese aprobate, cum ar fi „logiaipromptbuilder.exe” sau „tclloader.exe”, acesta din urmă fiind probabil legat de testarea internă.

Pentru a evita și mai mult monitorizarea securității, malware-ul elimină hook-urile de mod utilizator plasate în „ntdll.dll” de soluțiile de protecție endpoint și dezactivează telemetria Event Tracing for Windows (ETW). De asemenea, creează mai multe amprente de sistem bazate pe verificări anti-depanare, detectare virtualizare, informații despre disc și setări de limbă ale sistemului de operare. Aceste amprente generează un hash de mediu folosit pentru a decripta sarcina utilă încorporată.

Malware-ul validează în mod specific dacă sistemul țintă folosește portugheza braziliană. Orice indicație de depanare sau analiză are ca rezultat o valoare hash incorectă, împiedicând decriptarea cu succes a sarcinii utile și oprind complet execuția.

Capacități ale troienilor bancari concepute pentru control complet al sistemului

Odată ce verificările anti-analiză sunt finalizate, trojanul bancar principal este implementat. După confirmarea faptului că sistemul aparține unui utilizator brazilian, malware-ul stabilește persistența prin sarcini programate și contactează un server extern de comandă și control folosind cereri HTTP POST care conțin informații despre sistem.

TCLBANKER include funcționalitate de autoactualizare și monitorizează activ activitatea browserului prin extragerea adreselor URL din bara de adrese a browserului din prim-plan prin tehnici de automatizare a interfeței utilizator. Malware-ul vizează browserele utilizate pe scară largă, inclusiv:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Curajos
  • Operă
  • Vivaldi

Când este detectat un site web bancar sau de criptomonede monitorizat, TCLBANKER deschide o conexiune WebSocket la un server la distanță și intră într-o buclă de execuție a comenzilor. Acest lucru permite atacatorilor să efectueze de la distanță o gamă largă de activități rău intenționate, inclusiv recunoașterea sistemului, manipularea clipboard-ului, keylogging, capturarea de capturi de ecran, streaming de ecran, controlul de la distanță al mouse-ului și tastaturii, gestionarea proceselor și implementarea de suprapuneri false de recoltare a acreditărilor.

Inginerie socială avansată și furt de acreditări

TCLBANKER se bazează în mare măsură pe ingineria socială pentru a fura informații sensibile. Malware-ul folosește un framework de suprapunere pe ecran complet bazat pe Windows Presentation Foundation (WPF), capabil să afișeze interfețe de phishing extrem de convingătoare. Aceste suprapuneri imită solicitări bancare legitime, actualizări Windows false, bare de progres și ecrane de așteptare pentru phishing vocal, concepute pentru a manipula victimele să dezvăluie acreditările.

În special, suprapunerile sunt ascunse de utilitarele de captură de ecran, ceea ce face ca detectarea și analiza criminalistică să fie semnificativ mai dificile.

WhatsApp și Outlook s-au transformat în instrumente de răspândire a programelor malware

Alături de trojanul bancar, programul de încărcare implementează o componentă de tip worming responsabilă de răspândirea infecției la scară largă atât prin WhatsApp Web, cât și prin Microsoft Outlook. Modulul WhatsApp deturnează sesiunile autentificate ale browserului și utilizează proiectul open-source WPPConnect pentru a automatiza livrarea mesajelor către contactele victimelor. Pentru a îmbunătăți eficiența direcționării, malware-ul filtrează chat-urile de grup, listele de difuzare și numerele de telefon din afara Braziliei.

Componenta Outlook funcționează ca un robot de spam de tip phishing, abuzând de aplicația Microsoft Outlook instalată de victimă pentru a distribui e-mailuri rău intenționate direct de la adresa proprie a victimei. Deoarece aceste mesaje provin din conturi legitime și din infrastructură de încredere, filtrele tradiționale de spam și sistemele de securitate bazate pe reputație se luptă să detecteze activitatea rău intenționată.

Se pare că malware-ul poate trimite spam până la 3.000 de contacte folosind sesiuni WhatsApp și conturi Outlook compromise, crescând dramatic acoperirea campaniei și exploatând în același timp relațiile de încredere existente dintre victime și contactele acestora.

Semne ale unui peisaj al amenințărilor în expansiune

Cercetătorii cred că REF3076 se află încă în stadii operaționale incipiente. Dovezi precum căile de depanare a jurnalelor, infrastructura de phishing neterminată și numele proceselor de testare sugerează că operatorii continuă să rafineze și să extindă campania.

TCLBANKER evidențiază, de asemenea, evoluția rapidă care are loc în cadrul ecosistemului malware bancar brazilian. Tehnici asociate odinioară doar cu actori amenințători extrem de sofisticați apar acum în operațiunile de criminalitate cibernetică de bază. Aceste capabilități includ:

  • Decriptarea sarcinii utile bazată pe mediu
  • Generare directă de apeluri de sistem
  • Inginerie socială în timp real, bazată pe WebSocket
  • Propagarea mesajelor de încredere prin platforme de comunicații deturnate

Abuzând de sesiuni legitime de WhatsApp și Outlook, TCLBANKER ocolește efectiv multe sisteme de securitate convenționale. Campania demonstrează modul în care troienii bancari moderni combină din ce în ce mai mult tehnici avansate de stealth, automatizare și inginerie socială pentru a crea operațiuni cibernetice extrem de rezistente și scalabile.

Trending

Înșelătorie prin e-mail cu stocare completă iCloud

phishing, Spam
E-mailurile neașteptate care susțin că un cont este în pericol sau necesită acțiuni urgente trebuie tratate întotdeauna cu precauție. Infractorii cibernetici se dau adesea drept mărci și servicii online de încredere pentru a manipula destinatarii să dea clic pe linkuri rău intenționate, să dezvăluie informații sensibile sau să descarce fișiere dăunătoare. Așa-numitele e-mailuri „iCloud Storage...

Cele mai văzute

Se încarcă...