Банковский троян TCLBANKER
Исследователи в области кибербезопасности обнаружили ранее не описанный бразильский банковский троян, известный как TCLBANKER, — высокоразвитый штамм вредоносного ПО, предназначенный для атаки на 59 банковских, финтех- и криптовалютных платформ. В настоящее время кампания отслеживается под названием REF3076 и, как полагают, представляет собой значительную эволюцию печально известного семейства вредоносных программ Maverick, ранее связанного с кластером угроз Water Saci.
TCLBANKER расширяет возможности ранее применявшихся методов атаки, интегрируя передовые механизмы противодействия анализу, скрытую доставку полезной нагрузки и возможности широкомасштабного распространения через скомпрометированные коммуникационные платформы.
Оглавление
Скрытая цепочка заражения, созданная для уклонения от преследования.
Атака начинается с вредоносного ZIP-архива, содержащего установщик MSI, который использует уязвимость в легально подписанном приложении Logitech под названием Logi AI Prompt Builder. Путем загрузки DLL-файлов вредоносная программа заставляет доверенное приложение загрузить вредоносную библиотеку под названием 'screen_retriever_plugin.dll', которая выступает в качестве основного загрузчика.
Этот загрузчик включает в себя обширную подсистему сторожевого таймера, специально разработанную для избежания обнаружения. Он постоянно сканирует среды безопасности и анализа, включая отладчики, антивирусные продукты, дизассемблеры, песочницы и инструменты инструментирования. Выполнение происходит только тогда, когда DLL-файл запускается разрешенными процессами, такими как 'logiaipromptbuilder.exe' или 'tclloader.exe', причем последний, вероятно, связан с внутренним тестированием.
Чтобы еще больше избежать мониторинга безопасности, вредоносная программа удаляет перехватчики пользовательского режима, размещенные в файле 'ntdll.dll' решениями для защиты конечных точек, и отключает телеметрию Event Tracing for Windows (ETW). Она также создает несколько системных отпечатков на основе проверок на отладку, обнаружения виртуализации, информации о диске и языковых настроек операционной системы. Эти отпечатки генерируют хэш среды, используемый для расшифровки встроенной полезной нагрузки.
Вредоносная программа специально проверяет, использует ли целевая система бразильский португальский язык. Любые признаки отладки или анализа приводят к некорректному значению хеша, что препятствует успешной расшифровке полезной нагрузки и полностью останавливает выполнение.
Возможности банковского трояна, разработанного для полного контроля над системой.
После завершения проверок на предмет защиты от анализа развертывается основной банковский троян. Подтвердив, что система принадлежит бразильскому пользователю, вредоносная программа обеспечивает себе постоянное присутствие в системе посредством запланированных задач и связывается с внешним сервером управления и контроля, используя HTTP POST-запросы, содержащие информацию о системе.
TCLBANKER включает в себя функцию самообновления и активно отслеживает активность браузера, извлекая URL-адреса из адресной строки активного браузера с помощью методов автоматизации пользовательского интерфейса. Вредоносная программа нацелена на широко используемые браузеры, в том числе:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Храбрый
- Опера
- Вивальди
При обнаружении отслеживаемого банковского или криптовалютного веб-сайта TCLBANKER устанавливает соединение WebSocket с удаленным сервером и входит в цикл выполнения команд. Это позволяет злоумышленникам удаленно выполнять широкий спектр вредоносных действий, включая разведку системы, манипулирование буфером обмена, перехват нажатий клавиш, захват скриншотов, потоковую передачу экрана, удаленное управление мышью и клавиатурой, управление процессами и развертывание поддельных оверлеев для сбора учетных данных.
Продвинутые методы социальной инженерии и кражи учетных данных
Вредоносная программа TCLBANKER активно использует методы социальной инженерии для кражи конфиденциальной информации. Она использует полноэкранную накладку на основе Windows Presentation Foundation (WPF), способную отображать очень убедительные фишинговые интерфейсы. Эти накладки имитируют легитимные банковские запросы, поддельные обновления Windows, индикаторы выполнения и экраны ожидания с голосовым фишингом, предназначенные для того, чтобы заставить жертв раскрыть учетные данные.
Следует отметить, что эти наложения скрыты от программ для захвата экрана, что значительно затрудняет их обнаружение и криминалистический анализ.
WhatsApp и Outlook превратились в инструменты распространения вредоносного ПО.
Наряду с банковским трояном, загрузчик развертывает компонент-червя, ответственный за распространение инфекции в больших масштабах через WhatsApp Web и Microsoft Outlook. Модуль WhatsApp перехватывает авторизованные сеансы браузера и использует проект с открытым исходным кодом WPPConnect для автоматизации доставки сообщений контактам жертв. Для повышения эффективности нацеливания вредоносное ПО фильтрует групповые чаты, списки рассылки и номера телефонов, не принадлежащие Бразилии.
Компонент Outlook функционирует как фишинговый спам-бот, используя установленное на устройстве жертвы приложение Microsoft Outlook для рассылки вредоносных электронных писем непосредственно с адреса жертвы. Поскольку эти сообщения поступают с легитимных учетных записей и из доверенной инфраструктуры, традиционные спам-фильтры и системы безопасности, основанные на репутации, с трудом обнаруживают вредоносную активность.
Сообщается, что вредоносная программа может рассылать спам до 3000 контактов, используя взломанные сессии WhatsApp и учетные записи Outlook, что значительно расширяет охват кампании и эксплуатирует существующие доверительные отношения между жертвами и их контактами.
Признаки расширения ландшафта угроз
Исследователи полагают, что REF3076 все еще находится на ранней стадии эксплуатации. Такие данные, как пути к логам отладки, незавершенная фишинговая инфраструктура и названия тестовых процессов, указывают на то, что операторы продолжают совершенствовать и расширять кампанию.
Компания TCLBANKER также подчеркивает стремительную эволюцию, происходящую в бразильской экосистеме банковского вредоносного ПО. Методы, ранее ассоциировавшиеся только с высококвалифицированными злоумышленниками, теперь появляются в обычных операциях киберпреступлений. К таким возможностям относятся:
- Расшифровка полезной нагрузки на основе среды
- Непосредственная генерация системных вызовов
- Социальная инженерия в реальном времени на основе WebSocket
- Распространение доверенных сообщений через захваченные коммуникационные платформы
Используя легитимные сессии WhatsApp и Outlook, TCLBANKER эффективно обходит многие традиционные средства защиты. Кампания демонстрирует, как современные банковские трояны все чаще сочетают передовые методы скрытности, автоматизации и социальной инженерии для создания высокоустойчивых и масштабируемых киберпреступных операций.
