Popust za več licenc
Podjetje o grožnjah Mobilna zlonamerna programska oprema Bančni trojanec TCLBANKER

Bančni trojanec TCLBANKER

Do leta Mezo leta Mobilna zlonamerna programska oprema, bančni trojanec
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili prej nedokumentiranega brazilskega bančnega trojanca, znanega kot TCLBANKER, zelo napreden sev zlonamerne programske opreme, zasnovan za napad na 59 bančnih, fintech in kriptovalutnih platform. Kampanja trenutno poteka pod imenom REF3076 in naj bi predstavljala pomemben razvoj zloglasne družine zlonamerne programske opreme Maverick, ki je bila prej povezana z grozdom Water Saci.

TCLBANKER razširja prejšnje metode napadov z integracijo naprednih mehanizmov proti analizi, prikrite dostave koristnega tovora in zmogljivosti širjenja v velikem obsegu prek ogroženih komunikacijskih platform.

Prikrita veriga okužb, zgrajena za izogibanje

Napad se začne z zlonamerno ZIP arhivo, ki vsebuje namestitveni program MSI, ki zlorablja legitimno podpisano aplikacijo Logitech z imenom Logi AI Prompt Builder. Zlonamerna programska oprema z nalaganjem DLL-jev zaupanja vredno aplikacijo prisili, da naloži zlonamerno knjižnico z imenom »screen_retriever_plugin.dll«, ki deluje kot primarni nalagalnik.

Ta nalagalnik vključuje obsežen nadzorni podsistem, ki je posebej zasnovan za izogibanje zaznavanju. Neprekinjeno skenira varnostna in analitična okolja, vključno z razhroščevalniki, protivirusnimi izdelki, razstavljalci, peskovniki in orodji za instrumentacijo. Izvajanje se nadaljuje le, ko DLL zaženejo odobreni procesi, kot sta »logiaipromptbuilder.exe« ali »tclloader.exe«, pri čemer je slednji verjetno povezan z internim testiranjem.

Da bi se še bolj izognili varnostnemu nadzoru, zlonamerna programska oprema odstrani kavlje uporabniškega načina, ki jih v datoteko »ntdll.dll« namestijo rešitve za zaščito končnih točk, in onemogoči telemetrijo sledenja dogodkom za Windows (ETW). Prav tako ustvari več sistemskih prstnih odtisov na podlagi preverjanj proti odpravljanju napak, zaznavanja virtualizacije, informacij o disku in jezikovnih nastavitev operacijskega sistema. Ti prstni odtisi ustvarijo zgoščeno vrednost okolja, ki se uporablja za dešifriranje vdelanega koristnega tovora.

Zlonamerna programska oprema posebej preverja, ali ciljni sistem uporablja brazilsko portugalščino. Vsak znak odpravljanja napak ali analize povzroči napačno zgoščevalno vrednost, kar prepreči uspešno dešifriranje koristnega tovora in popolnoma ustavi izvajanje.

Zmogljivosti bančnega trojanca, zasnovane za popoln nadzor nad sistemom

Ko so preverjanja proti analizi končana, se namesti primarni bančni trojanec. Po potrditvi, da sistem pripada brazilskemu uporabniku, zlonamerna programska oprema vzpostavi vztrajnost prek načrtovanih opravil in se poveže z zunanjim strežnikom za upravljanje in nadzor z uporabo zahtev HTTP POST, ki vsebujejo sistemske informacije.

TCLBANKER vključuje funkcijo samodejnega posodabljanja in aktivno spremlja dejavnost brskalnika tako, da s tehnikami avtomatizacije uporabniškega vmesnika pridobiva URL-je iz naslovne vrstice brskalnika v ospredju. Zlonamerna programska oprema cilja na pogosto uporabljene brskalnike, vključno z:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Pogumen
  • Opera
  • Vivaldi

Ko TCLBANKER zazna nadzorovano bančno ali kriptovalutno spletno mesto, odpre povezavo WebSocket z oddaljenim strežnikom in vstopi v zanko izvajanja ukazov. To napadalcem omogoča oddaljeno izvajanje širokega nabora zlonamernih dejavnosti, vključno s sistemskim izvidovanjem, manipulacijo odložišča, beleženjem tipk, zajemanjem posnetkov zaslona, pretakanjem zaslona, oddaljenim upravljanjem miške in tipkovnice, upravljanjem procesov in nameščanjem lažnih prekrivnih slojev za pridobivanje poverilnic.

Napredni socialni inženiring in kraja poverilnic

TCLBANKER se za krajo občutljivih podatkov močno zanaša na socialni inženiring. Zlonamerna programska oprema uporablja ogrodje za celozaslonski prikaz, ki temelji na platformi Windows Presentation Foundation (WPF) in lahko prikazuje zelo prepričljive lažne vmesnike. Ti prekrivni elementi posnemajo legitimne bančne pozive, lažne posodobitve sistema Windows, vrstice napredka in čakalne zaslone z glasovnim lažnim predstavljanjem, namenjene manipulaciji žrtev z razkritjem poverilnic.

Omeniti velja, da so prekrivni elementi skriti pred orodji za zajem zaslona, kar znatno otežuje odkrivanje in forenzično analizo.

WhatsApp in Outlook sta postala orodji za distribucijo zlonamerne programske opreme

Poleg bančnega trojanca nalagalnik namesti tudi komponento za širjenje okužbe v velikem obsegu prek WhatsApp Web in Microsoft Outlooka. Modul WhatsApp ugrabi overjene seje brskalnika in uporablja odprtokodni projekt WPPConnect za avtomatizacijo dostave sporočil stikom žrtev. Za izboljšanje učinkovitosti ciljanja zlonamerna programska oprema filtrira skupinske klepete, sezname za oddajanje in telefonske številke, ki niso iz Brazila.

Komponenta Outlook deluje kot lažni robot za neželeno pošto, tako da zlorablja nameščeno aplikacijo Microsoft Outlook žrtve za distribucijo zlonamernih e-poštnih sporočil neposredno z njenega lastnega naslova. Ker ta sporočila izvirajo iz legitimnih računov in zaupanja vredne infrastrukture, tradicionalni filtri za neželeno pošto in varnostni sistemi, ki temeljijo na ugledu, težko zaznajo zlonamerno dejavnost.

Zlonamerna programska oprema lahko po poročanjih pošlje neželeno pošto do 3000 stikom z uporabo ogroženih sej WhatsApp in računov Outlook, kar dramatično poveča doseg kampanje, hkrati pa izkorišča obstoječe zaupanje med žrtvami in njihovimi stiki.

Znaki širjenja groženj

Raziskovalci menijo, da je REF3076 še vedno v zgodnji operativni fazi. Dokazi, kot so poti beleženja napak, nedokončana infrastruktura za lažno predstavljanje in imena testnih procesov, kažejo, da operaterji še naprej izpopolnjujejo in širijo kampanjo.

TCLBANKER poudarja tudi hiter razvoj brazilskega ekosistema zlonamerne programske opreme za bančništvo. Tehnike, ki so bile nekoč povezane le z zelo sofisticiranimi akterji grožnje, se zdaj pojavljajo v operacijah kibernetske kriminalitete. Te zmogljivosti vključujejo:

  • Dešifriranje koristnega tovora na podlagi okolja
  • Neposredno generiranje sistemskih klicev
  • Socialni inženiring v realnem času, ki ga poganja WebSocket
  • Širjenje zaupanja vrednih sporočil prek ugrabljenih komunikacijskih platform

Z zlorabo legitimnih sej WhatsApp in Outlook TCLBANKER učinkovito zaobide številne običajne varnostne obrambe. Kampanja prikazuje, kako sodobni bančni trojanci vse bolj združujejo napredne tehnike prikritosti, avtomatizacije in socialnega inženiringa za ustvarjanje zelo odpornih in prilagodljivih operacij kibernetskega kriminala.

V trendu

Nova različica prevare z vmesnikom poštnega sistema

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki zahtevajo nujno ukrepanje, je treba vedno obravnavati previdno, zlasti kadar vključujejo preverjanje računa, varnostne nadgradnje ali začasno ukinitev storitev. Kibernetski kriminalci pogosto izkoriščajo strah in nujnost, da manipulirajo s prejemniki in jih prisilijo k razkritju občutljivih podatkov. E-poštna kampanja »Nova različica vmesnika poštnega...

Prevara s popolno e-pošto v shrambi iCloud

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki trdijo, da je račun ogrožen ali da zahtevajo nujno ukrepanje, je treba vedno obravnavati previdno. Kibernetski kriminalci se pogosto izdajajo za zaupanja vredne blagovne znamke in spletne storitve, da bi manipulirali prejemnike, da kliknejo zlonamerne povezave, razkrijejo občutljive podatke ali prenesejo škodljive datoteke. Tako imenovana e-poštna sporočila...

Najbolj gledan

Nalaganje...