Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular TCLBANKER Banking Trojan

TCLBANKER Banking Trojan

Nga MezoMalware celular, Trojan bankar
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një trojan bankar brazilian të padokumentuar më parë, të njohur si TCLBANKER, një lloj malware shumë i avancuar i projektuar për të synuar 59 platforma bankare, fintech dhe kriptomonedhash. Fushata aktualisht gjurmohet nën emrin REF3076 dhe besohet se përfaqëson një evolucion të rëndësishëm të familjes famëkeqe të malware-it Maverick, e cila më parë ishte e lidhur me grupin e kërcënimeve Water Saci.

TCLBANKER zgjeron metodat e mëparshme të sulmit duke integruar mekanizma të përparuar kundër analizës, shpërndarjen e ngarkesës së fokusuar në fshehtësi dhe aftësi përhapjeje në shkallë të gjerë përmes platformave të komunikimit të kompromentuara.

Një zinxhir i fshehtë infeksionesh i ndërtuar për shmangie

Sulmi fillon me një arkiv ZIP keqdashës që përmban një instalues MSI që abuzon me një aplikacion Logitech të nënshkruar legjitimisht të quajtur Logi AI Prompt Builder. Përmes ngarkimit anësor të DLL, malware e detyron aplikacionin e besuar të ngarkojë një bibliotekë keqdashëse të quajtur 'screen_retriever_plugin.dll', e cila vepron si ngarkuesi kryesor.

Ky ngarkues përfshin një nënsistem të gjerë mbikëqyrës të projektuar posaçërisht për të shmangur zbulimin. Ai skanon vazhdimisht për mjedise sigurie dhe analize, duke përfshirë debuggers, produkte antivirus, disassemblers, sandboxes dhe mjete instrumentimi. Ekzekutimi vazhdon vetëm kur DLL niset nga procese të miratuara si 'logiaipromptbuilder.exe' ose 'tclloader.exe', ku kjo e fundit ka të ngjarë të jetë e lidhur me testime të brendshme.

Për të shmangur më tej monitorimin e sigurisë, programi keqdashës heq grepat e modalitetit të përdoruesit të vendosur brenda 'ntdll.dll' nga zgjidhjet e mbrojtjes së pikës fundore dhe çaktivizon telemetrinë e Gjurmimit të Ngjarjeve për Windows (ETW). Ai gjithashtu krijon gjurmë gishtash të shumëfishta të sistemit bazuar në kontrollet kundër debugging-ut, zbulimin e virtualizimit, informacionin e diskut dhe cilësimet e gjuhës së sistemit operativ. Këto gjurmë gishtash gjenerojnë një hash mjedisi të përdorur për të deshifruar ngarkesën e ngulitur.

Malware vërteton në mënyrë specifike nëse sistemi i synuar përdor portugalishten braziliane. Çdo tregues i debuggingut ose analizës rezulton në një vlerë hash të pasaktë, duke parandaluar deshifrimin e suksesshëm të ngarkesës dhe duke ndaluar plotësisht ekzekutimin.

Aftësitë e Trojanëve Bankarë të Dizajnuara për Kontroll të Plotë të Sistemit

Pasi të përfundojnë kontrollet anti-analizë, vendoset trojani kryesor bankar. Pasi konfirmon se sistemi i përket një përdoruesi brazilian, malware-i krijon qëndrueshmëri përmes detyrave të planifikuara dhe kontakton një server të jashtëm komande dhe kontrolli duke përdorur kërkesa HTTP POST që përmbajnë informacione të sistemit.

TCLBANKER përfshin funksionalitetin e vetëpërditësimit dhe monitoron në mënyrë aktive aktivitetin e shfletuesit duke nxjerrë URL-të nga shiriti i adresës së shfletuesit në plan të parë përmes teknikave të Automatizimit të Ndërfaqes së Përdoruesit. Malware synon shfletuesit e përdorur gjerësisht, duke përfshirë:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Trim
  • Opera
  • Vivaldi

Kur zbulohet një faqe interneti bankare ose kriptomonedhash e monitoruar, TCLBANKER hap një lidhje WebSocket me një server të largët dhe hyn në një cikël ekzekutimi komandash. Kjo u mundëson sulmuesve të kryejnë nga distanca një gamë të gjerë aktivitetesh dashakeqe, duke përfshirë zbulimin e sistemit, manipulimin e clipboard-it, regjistrimin e tasteve, kapjen e pamjeve të ekranit, transmetimin e ekranit, kontrollin në distancë të mausit dhe tastierës, menaxhimin e proceseve dhe vendosjen e mbivendosjeve të rreme për mbledhjen e kredencialeve.

Inxhinieri Sociale e Avancuar dhe Vjedhja e Kredencialeve

TCLBANKER mbështetet shumë në inxhinierinë sociale për të vjedhur informacione të ndjeshme. Malware përdor një kornizë mbivendosjeje me ekran të plotë të bazuar në Windows Presentation Foundation (WPF), e aftë të shfaqë ndërfaqe shumë bindëse për phishing. Këto mbivendosje imitojnë kërkesa legjitime bankare, përditësime të rreme të Windows, shirita progresi dhe ekrane pritjeje për phishing me zë të dizajnuara për të manipuluar viktimat që të zbulojnë kredencialet.

Veçanërisht, mbivendosjet janë të fshehura nga shërbimet e kapjes së ekranit, duke e bërë zbulimin dhe analizën mjeko-ligjore dukshëm më të vështira.

WhatsApp dhe Outlook u shndërruan në mjete shpërndarjeje të programeve keqdashëse

Krahas trojanit bankar, ngarkuesi vendos një komponent krimbi përgjegjës për përhapjen e infeksionit në shkallë të gjerë përmes WhatsApp Web dhe Microsoft Outlook. Moduli WhatsApp rrëmben seancat e autentifikuara të shfletuesit dhe përdor projektin me burim të hapur WPPConnect për të automatizuar dërgimin e mesazheve te kontaktet e viktimave. Për të përmirësuar efikasitetin e synimit, malware filtron bisedat në grup, listat e transmetimeve dhe numrat e telefonit jo-brazilianë.

Komponenti i Outlook funksionon si një spambot phishing duke abuzuar me aplikacionin e instaluar të viktimës Microsoft Outlook për të shpërndarë email-e dashakeqe direkt nga adresa e vetë viktimës. Meqenëse këto mesazhe burojnë nga llogari legjitime dhe infrastrukturë e besuar, filtrat tradicionalë të spam-it dhe sistemet e sigurisë të bazuara në reputacion kanë vështirësi në zbulimin e aktivitetit dashakeq.

Raportohet se malware mund të dërgojë deri në 3,000 kontakte duke përdorur seanca të kompromentuara në WhatsApp dhe llogari Outlook, duke rritur ndjeshëm shtrirjen e fushatës, ndërkohë që shfrytëzon marrëdhëniet ekzistuese të besimit midis viktimave dhe kontakteve të tyre.

Shenjat e një peizazhi kërcënimesh në zgjerim

Studiuesit besojnë se REF3076 është ende në fazat e hershme të funksionimit. Prova të tilla si shtigjet e regjistrimit të debug-eve, infrastruktura e papërfunduar e phishing-ut dhe emrat e proceseve të testimit sugjerojnë se operatorët po vazhdojnë ta përsosin dhe zgjerojnë fushatën.

TCLBANKER gjithashtu thekson evolucionin e shpejtë që po ndodh brenda ekosistemit të malware-it bankar brazilian. Teknikat që dikur shoqëroheshin vetëm me aktorë kërcënimi shumë të sofistikuar tani po shfaqen në operacionet e krimit kibernetik të mallrave. Këto aftësi përfshijnë:

  • Dekriptimi i ngarkesës së bazuar në mjedis
  • Gjenerimi i drejtpërdrejtë i thirrjeve të sistemit
  • Inxhinieri sociale e drejtuar nga WebSocket në kohë reale
  • Përhapja e mesazheve të besueshme përmes platformave të komunikimit të rrëmbyera

Duke abuzuar me seancat legjitime të WhatsApp dhe Outlook, TCLBANKER anashkalon në mënyrë efektive shumë mbrojtje konvencionale të sigurisë. Fushata demonstron se si trojanët modernë bankarë po përziejnë gjithnjë e më shumë teknikat e përparuara të fshehtësisë, automatizimit dhe inxhinierisë sociale për të krijuar operacione kriminale kibernetike shumë elastike dhe të shkallëzueshme.

Në trend

Versioni i Ri i Mashtrimit me Email të Ndërfaqes së...

Fishing, Spam
Emailet e papritura që kërkojnë veprime urgjente duhet të trajtohen gjithmonë me kujdes, veçanërisht kur ato përfshijnë verifikimin e llogarisë, përmirësimet e sigurisë ose shërbimet e pezulluara. Kriminelët kibernetikë shpesh shfrytëzojnë frikën dhe urgjencën për të manipuluar marrësit që të zbulojnë informacione të ndjeshme. Fushata e emaileve 'Versioni i Ri i Ndërfaqes së Sistemit të Postës'...

Mashtrim i plotë me email me hapësirë ruajtjeje në...

Fishing, Spam
Emailet e papritura që pretendojnë se një llogari është në rrezik ose kërkon veprim urgjent duhet të trajtohen gjithmonë me kujdes. Kriminelët kibernetikë shpesh imitojnë markat dhe shërbimet online të besuara për të manipuluar marrësit që të klikojnë lidhje dashakeqe, të zbulojnë informacione të ndjeshme ose të shkarkojnë skedarë të dëmshëm. Emailet e ashtuquajtura 'iCloud Storage Full' janë...

Më e shikuara

Po ngarkohet...