Попуст за више лиценци
Тхреат Датабасе Мобиле Малваре TCLBANKER банкарски тројанац

TCLBANKER банкарски тројанац

До Mezo. у Мобиле Малваре, Банкарски тројанац
Преведи на:

Истраживачи сајбер безбедности открили су раније недокументовани бразилски банкарски тројански вирус познат као TCLBANKER, високо напредни сој малвера дизајниран да циља 59 банкарских, финтех и криптовалутарних платформи. Кампања се тренутно прати под називом REF3076 и верује се да представља значајну еволуцију озлоглашене породице малвера Maverick, раније повезане са кластером претњи Water Saci.

TCLBANKER проширује раније методе напада интегришући напредне механизме против анализе, испоруку корисног терета фокусирану на прикривеност и могућности ширења великих размера путем угрожених комуникационих платформи.

Прикривени ланац инфекције направљен за избегавање

Напад почиње злонамерном ZIP архивом која садржи MSI инсталатер који злоупотребљава легитимно потписану Logitech апликацију под називом Logi AI Prompt Builder. Кроз бочно учитавање DLL-а, злонамерни софтвер приморава поуздану апликацију да учита злонамерну библиотеку под називом „screen_retriever_plugin.dll“, која делује као примарни програм за учитавање.

Овај програм за учитавање података укључује опсежни подсистем за чување података (watchdog) посебно дизајниран да избегне откривање. Он континуирано скенира безбедносна и аналитичка окружења, укључујући дебагере, антивирусне производе, дизасемблер, „пешчанике“ и алате за инструментацију. Извршавање се наставља само када DLL покрену одобрени процеси као што су „logiaipromptbuilder.exe“ или „tclloader.exe“, при чему је овај други вероватно повезан са интерним тестирањем.

Да би додатно избегао безбедносно праћење, злонамерни софтвер уклања закачке корисничког режима које су поставила решења за заштиту крајњих тачака (endpoint protection) у датотеци „ntdll.dll“ и онемогућава телеметрију праћења догађаја за Windows (ETW). Такође креира више системских отисака прстију на основу провера против дебаговања, детекције виртуелизације, информација о диску и подешавања језика оперативног система. Ови отисци прстију генеришу хеш окружења који се користи за дешифровање уграђеног корисног оптерећења.

Злонамерни софтвер посебно проверава да ли циљни систем користи бразилски португалски. Било каква индикација дебаговања или анализе резултира нетачном хеш вредношћу, спречавајући успешно дешифровање корисног оптерећења и потпуно заустављајући извршавање.

Могућности банкарског тројанца дизајниране за потпуну контролу система

Када се заврше анти-аналитичке провере, примарни банкарски тројанац се распоређује. Након потврде да систем припада бразилском кориснику, злонамерни софтвер успоставља постојаност путем заказаних задатака и контактира спољни командни сервер користећи HTTP POST захтеве који садрже системске информације.

TCLBANKER укључује функционалност самосталног ажурирања и активно прати активност прегледача тако што издваја URL-ове из адресне траке прегледача у првом плану путем техника аутоматизације корисничког интерфејса. Злонамерни софтвер циља широко коришћене прегледаче, укључујући:

  • Гугл Хром
  • Мозила Фајерфокс
  • Мајкрософт Еџ
  • Храбар
  • Опера
  • Вивалди

Када се открије праћена банкарска или криптовалутна веб страница, TCLBANKER отвара WebSocket везу са удаљеним сервером и улази у петљу извршавања команди. Ово омогућава нападачима да даљински обављају широк спектар злонамерних активности, укључујући извиђање система, манипулацију међуспремником, бележење тастера, снимање екрана, стримовање екрана, даљинско управљање мишем и тастатуром, управљање процесима и постављање лажних прекривача за прикупљање акредитива.

Напредни друштвени инжењеринг и крађа акредитива

TCLBANKER се у великој мери ослања на друштвени инжењеринг како би украо осетљиве информације. Злонамерни софтвер користи оквир за преклапање преко целог екрана заснован на Windows Presentation Foundation (WPF) платформи, способан да приказује веома убедљиве фишинг интерфејсе. Ови преклапања имитирају легитимне банкарске упите, лажна ажурирања Windows-а, траке напретка и гласовне фишинг екране чекања, дизајниране да манипулишу жртвама и да открију акредитиве.

Приметно је да су прекривачи скривени од услужних програма за снимање екрана, што знатно отежава откривање и форензичку анализу.

WhatsApp и Outlook претворени у алате за дистрибуцију злонамерног софтвера

Уз банкарског тројанца, злонамерни софтвер поставља и компоненту за вирусе која је одговорна за ширење инфекције у великим размерама путем WhatsApp Web-а и Microsoft Outlook-а. WhatsApp модул преузима аутентификоване сесије прегледача и користи пројекат отвореног кода WPPConnect за аутоматизацију испоруке порука контактима жртава. Да би се побољшала ефикасност циљања, злонамерни софтвер филтрира групне ћаскања, листе емитовања и бројеве телефона који нису из Бразила.

Компонента Outlook функционише као фишинг спамбот злоупотребљавајући инсталирану апликацију Microsoft Outlook жртве за дистрибуцију злонамерних имејлова директно са адресе жртве. Пошто ове поруке потичу са легитимних налога и поуздане инфраструктуре, традиционални филтери за спам и безбедносни системи засновани на репутацији тешко откривају злонамерне активности.

Злонамерни софтвер наводно може да пошаље спам до 3.000 контаката користећи компромитоване WhatsApp сесије и Outlook налоге, драматично повећавајући домет кампање док истовремено искоришћава постојеће односе поверења између жртава и њихових контаката.

Знаци ширења претњи

Истраживачи верују да је REF3076 још увек у раним оперативним фазама. Докази као што су путање евидентирања грешака, недовршена фишинг инфраструктура и имена процеса тестирања сугеришу да оператери настављају да усавршавају и проширују кампању.

TCLBANKER такође истиче брзу еволуцију која се дешава у екосистему бразилског банкарског злонамерног софтвера. Технике које су некада биле повезане само са високо софистицираним актерима претњи сада се појављују у операцијама сајбер криминала. Ове могућности укључују:

  • Дешифровање корисног терета засновано на окружењу
  • Директно генерисање системских позива
  • Социјални инжењеринг у реалном времену вођен WebSocket-ом
  • Ширење поузданих порука путем отетих комуникационих платформи

Злоупотребом легитимних WhatsApp и Outlook сесија, TCLBANKER ефикасно заобилази многе конвенционалне безбедносне одбране. Кампања показује како модерни банкарски тројанци све више комбинују напредне технике прикривености, аутоматизације и социјалног инжењеринга како би створили изузетно отпорне и скалабилне сајбер криминалне операције.

У тренду

Нова верзија преваре са е-поштом у интерфејсу...

Пецање, Спам
Неочекиване имејлове који захтевају хитну акцију увек треба третирати са опрезом, посебно када укључују верификацију налога, безбедносне надоградње или суспендоване услуге. Сајбер криминалци често користе страх и хитност како би манипулисали примаоцима и навели их да открију осетљиве информације. Кампања имејлова „Нова верзија интерфејса система поште“ једна је од таквих фишинг превара...

ICloud складиштење - комплетна превара са имејлом

Пецање, Спам
Неочекиване имејлове у којима се тврди да је налог угрожен или да захтева хитну акцију увек треба третирати са опрезом. Сајбер криминалци се често представљају као поуздани брендови и онлајн сервиси како би манипулисали примаоцима да кликну на злонамерне линкове, открију осетљиве информације или преузму штетне датотеке. Такозвани имејлови са називом „iCloud Storage Full“ део су фишинг преваре и...

Најгледанији

Учитавање...