Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér Bankový trójsky kôň TCLBANKER

Bankový trójsky kôň TCLBANKER

Do roku Mezo v roku Mobilný malvér, Bankový trójsky kôň
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili doteraz nezdokumentovaný brazílsky bankový trójsky kôň známy ako TCLBANKER, čo je vysoko pokročilý kmeň malvéru určený na útok na 59 bankových, fintech a kryptomenových platforiem. Kampaň je v súčasnosti sledovaná pod názvom REF3076 a predpokladá sa, že predstavuje významný vývoj notoricky známej rodiny malvéru Maverick, ktorá bola predtým spájaná s klastrom hrozieb Water Saci.

TCLBANKER rozširuje skoršie metódy útoku integráciou pokročilých mechanizmov anti-analýzy, doručovania užitočného zaťaženia zameraného na nenápadnosť a možností rozsiahleho šírenia prostredníctvom kompromitovaných komunikačných platforiem.

Nenápadný reťazec infekcií vytvorený na únik

Útok začína škodlivým ZIP archívom obsahujúcim MSI inštalátor, ktorý zneužíva legitímne podpísanú aplikáciu Logitech s názvom Logi AI Prompt Builder. Prostredníctvom bočného načítavania DLL núti škodlivý softvér dôveryhodnú aplikáciu načítať škodlivú knižnicu s názvom „screen_retriever_plugin.dll“, ktorá funguje ako primárny zavádzač.

Tento zavádzač obsahuje rozsiahly watchdog subsystém špeciálne navrhnutý tak, aby sa vyhol detekcii. Neustále prehľadáva bezpečnostné a analytické prostredia vrátane debuggerov, antivírusových produktov, disassemblerov, sandboxov a nástrojov na inštrumentáciu. Vykonávanie pokračuje iba vtedy, keď je knižnica DLL spustená schválenými procesmi, ako napríklad „logiaipromptbuilder.exe“ alebo „tclloader.exe“, pričom posledný uvedený pravdepodobne súvisí s interným testovaním.

Aby sa malvér ešte viac vyhol monitorovaniu zabezpečenia, odstráni hooky používateľského režimu umiestnené v súbore „ntdll.dll“ riešeniami ochrany koncových bodov a deaktivuje telemetriu sledovania udalostí pre systém Windows (ETW). Taktiež vytvára viacero systémových odtlačkov prstov na základe kontrol anti-debuggingu, detekcie virtualizácie, informácií o disku a nastavení jazyka operačného systému. Tieto odtlačky prstov generujú hash prostredia, ktorý sa používa na dešifrovanie vloženého užitočného zaťaženia.

Malvér konkrétne overuje, či cieľový systém používa brazílsku portugalčinu. Akýkoľvek náznak ladenia alebo analýzy má za následok nesprávnu hašovaciu hodnotu, čo bráni úspešnému dešifrovaniu užitočného zaťaženia a úplne zastavuje vykonávanie.

Funkcie bankového trójskeho koňa navrhnuté pre úplnú kontrolu systému

Po dokončení antianalytických kontrol sa nasadí primárny bankový trójsky kôň. Po overení, že systém patrí brazílskemu používateľovi, malvér vytvorí trvalú sieť prostredníctvom naplánovaných úloh a kontaktuje externý veliteľský server pomocou požiadaviek HTTP POST obsahujúcich systémové informácie.

TCLBANKER obsahuje funkciu samoaktualizácie a aktívne monitoruje aktivitu prehliadača extrahovaním adries URL z adresného riadka prehliadača v popredí pomocou techník automatizácie používateľského rozhrania. Malvér sa zameriava na bežne používané prehliadače vrátane:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Odvážny
  • Opera
  • Vivaldi

Keď sa zistí monitorovaná banková alebo kryptomenová webová stránka, TCLBANKER otvorí WebSocket pripojenie k vzdialenému serveru a vstúpi do slučky vykonávania príkazov. To umožňuje útočníkom vzdialene vykonávať širokú škálu škodlivých aktivít vrátane prieskumu systému, manipulácie so schránkou, keyloggu, snímania obrazovky, streamovania obrazovky, vzdialeného ovládania myšou a klávesnicou, správy procesov a nasadzovania falošných prekrytí na získavanie poverení.

Pokročilé sociálne inžinierstvo a krádež poverení

TCLBANKER sa pri krádeži citlivých informácií vo veľkej miere spolieha na sociálne inžinierstvo. Malvér používa celoobrazovkový overlay framework založený na Windows Presentation Foundation (WPF), ktorý dokáže zobraziť veľmi presvedčivé phishingové rozhrania. Tieto overlay napodobňujú legitímne bankové výzvy, falošné aktualizácie systému Windows, indikátory priebehu a hlasové phishingové čakacie obrazovky, ktorých cieľom je manipulovať s obeťami a prinútiť ich zverejniť prihlasovacie údaje.

Je pozoruhodné, že prekrytia sú skryté pred nástrojmi na snímanie obrazovky, čo výrazne sťažuje ich detekciu a forenznú analýzu.

WhatsApp a Outlook sa zmenili na nástroje na distribúciu malvéru

Spolu s bankovým trójskym koňom nasadzuje zavádzací koň aj komponent pre šírenie nákazy vo veľkom rozsahu prostredníctvom WhatsApp Web aj Microsoft Outlook. Modul WhatsApp unáša overené relácie prehliadača a používa projekt WPPConnect s otvoreným zdrojovým kódom na automatizáciu doručovania správ kontaktom obetí. Pre zlepšenie efektivity cielenia malvér filtruje skupinové chaty, zoznamy vysielania a telefónne čísla mimo Brazílie.

Komponent Outlook funguje ako phishingový spambot zneužívaním nainštalovanej aplikácie Microsoft Outlook obete na distribúciu škodlivých e-mailov priamo z jej vlastnej adresy. Keďže tieto správy pochádzajú z legitímnych účtov a dôveryhodnej infraštruktúry, tradičné spamové filtre a bezpečnostné systémy založené na reputácii majú problém s odhalením škodlivej aktivity.

Malvér údajne dokáže rozoslať spam až 3 000 kontaktom pomocou napadnutých relácií WhatsApp a účtov Outlook, čím dramaticky zvyšuje dosah kampane a zároveň zneužíva existujúce vzťahy dôvery medzi obeťami a ich kontaktmi.

Známky rozširujúcej sa hrozby

Výskumníci sa domnievajú, že REF3076 je stále v počiatočných fázach fungovania. Dôkazy, ako sú cesty protokolovania ladenia, nedokončená phishingová infraštruktúra a názvy testovacích procesov, naznačujú, že operátori kampaň naďalej zdokonaľujú a rozširujú.

TCLBANKER tiež zdôrazňuje rýchly vývoj, ku ktorému dochádza v ekosystéme brazílskeho bankového malvéru. Techniky, ktoré boli kedysi spájané len s vysoko sofistikovanými aktérmi hrozby, sa teraz objavujú v operáciách kybernetickej kriminality v oblasti komodit. Medzi tieto možnosti patrí:

  • Dešifrovanie užitočného zaťaženia na základe prostredia
  • Priame generovanie systémových volaní
  • Sociálne inžinierstvo v reálnom čase riadené WebSocketom
  • Šírenie dôveryhodných správ prostredníctvom napadnutých komunikačných platforiem

Zneužívaním legitímnych relácií WhatsApp a Outlook TCLBANKER efektívne obchádza mnohé konvenčné bezpečnostné opatrenia. Kampaň demonštruje, ako moderné bankové trójske kone čoraz viac kombinujú pokročilé techniky utajenia, automatizácie a sociálneho inžinierstva na vytvorenie vysoko odolných a škálovateľných kybernetických zločineckých operácií.

Trendy

Nová verzia podvodu s e-mailovým rozhraním poštového...

Phishing, Spam
Neočakávané e-maily, ktoré vyžadujú urgentný zásah, by sa mali vždy brať opatrne, najmä ak sa týkajú overenia účtu, bezpečnostných aktualizácií alebo pozastavenia služieb. Kyberzločinci často zneužívajú strach a naliehavosť na manipuláciu príjemcov s cieľom prinútiť ich odhaliť citlivé informácie. E-mailová kampaň s názvom „Nová verzia rozhrania poštového systému“ je jedným z takýchto...

Úplný podvod s e-mailami v úložisku iCloud

Phishing, Spam
Neočakávané e-maily, ktoré tvrdia, že účet je ohrozený alebo vyžaduje urgentný zásah, by sa mali vždy brať opatrne. Kyberzločinci sa často vydávajú za dôveryhodné značky a online služby, aby manipulovali príjemcov a prinútili ich kliknúť na škodlivé odkazy, prezradiť citlivé informácie alebo si stiahnuť škodlivé súbory. Takzvané e-maily s označením „iCloud Storage Full“ sú súčasťou...

Najviac videné

Načítava...