Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara TCLBANKER Banktrojan

TCLBANKER Banktrojan

Med Mezo år Mobil skadlig programvara, Banktrojan
Översätt till:

Cybersäkerhetsforskare har upptäckt en tidigare odokumenterad brasiliansk banktrojan känd som TCLBANKER, en mycket avancerad skadlig kodstam utformad för att rikta in sig på 59 bank-, fintech- och kryptovalutaplattformar. Kampanjen spåras för närvarande under namnet REF3076 och tros representera en betydande utveckling av den ökända Maverick-familjen av skadliga program, tidigare associerad med hotklustret Water Saci.

TCLBANKER bygger vidare på tidigare attackmetoder genom att integrera avancerade antianalysmekanismer, smygfokuserad nyttolastleverans och storskaliga spridningsmöjligheter genom komprometterade kommunikationsplattformar.

En smygande infektionskedja byggd för undvikande

Attacken börjar med ett skadligt ZIP-arkiv som innehåller ett MSI-installationsprogram som missbrukar ett legitimt signerat Logitech-program som heter Logi AI Prompt Builder. Genom sidladdning av DLL tvingar den skadliga programvaran det betrodda programmet att ladda ett skadligt bibliotek med namnet 'screen_retriever_plugin.dll', vilket fungerar som den primära laddaren.

Denna laddare innehåller ett omfattande övervakningssystem som är särskilt konstruerat för att undvika upptäckt. Det söker kontinuerligt efter säkerhets- och analysmiljöer, inklusive felsökare, antivirusprodukter, disassemblerar, sandlådor och instrumentverktyg. Körningen fortsätter endast när DLL-filen startas av godkända processer som 'logiaipromptbuilder.exe' eller 'tclloader.exe', den senare troligen kopplad till intern testning.

För att ytterligare undvika säkerhetsövervakning tar den skadliga programvaran bort användarlägeshooks som placerats i 'ntdll.dll' av endpoint protection-lösningar och inaktiverar Event Tracing for Windows (ETW)-telemetri. Den skapar också flera systemfingeravtryck baserat på felsökningskontroller, virtualiseringsidentifiering, diskinformation och operativsystemets språkinställningar. Dessa fingeravtryck genererar en miljöhash som används för att dekryptera den inbäddade nyttolasten.

Skadlig programvara validerar specifikt om målsystemet använder brasiliansk portugisiska. Varje indikation på felsökning eller analys resulterar i ett felaktigt hashvärde, vilket förhindrar lyckad dekryptering av nyttolasten och stoppar körningen helt.

Banktrojanfunktioner utformade för fullständig systemkontroll

När anti-analyskontrollerna är klara distribueras den primära banktrojanen. Efter att ha bekräftat att systemet tillhör en brasiliansk användare etablerar skadlig kod persistens genom schemalagda uppgifter och kontaktar en extern kommando- och kontrollserver med hjälp av HTTP POST-förfrågningar som innehåller systeminformation.

TCLBANKER har en funktion för självuppdatering och övervakar aktivt webbläsaraktivitet genom att extrahera URL:er från webbläsarens adressfält i förgrunden med hjälp av UI-automationstekniker. Skadlig programvara riktar sig mot flitigt använda webbläsare, inklusive:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Modig
  • Opera
  • Vivaldi

När en övervakad bank- eller kryptovalutawebbplats upptäcks öppnar TCLBANKER en WebSocket-anslutning till en fjärrserver och går in i en kommandokörningsloop. Detta gör det möjligt för angripare att fjärrutföra ett brett spektrum av skadliga aktiviteter, inklusive systemspaning, manipulation av urklipp, tangentloggning, skärmdumpstagning, skärmströmning, fjärrstyrning av mus och tangentbord, processhantering och distribution av falska överlägg för insamling av autentiseringsuppgifter.

Avancerad social ingenjörskonst och stöld av autentiseringsuppgifter

TCLBANKER förlitar sig i hög grad på social ingenjörskonst för att stjäla känslig information. Skadlig programvara använder ett helskärmsöverlagringsramverk (Windows Presentation Foundation) baserat på WPF som kan visa mycket övertygande nätfiskegränssnitt. Dessa överlagringar imiterar legitima bankmeddelanden, falska Windows-uppdateringar, förloppsindikatorer och vänteskärmar för röstnätfiske som är utformade för att manipulera offer att avslöja inloggningsuppgifter.

Det är värt att notera att överläggen är dolda från skärmdumpningsverktyg, vilket gör detektion och forensisk analys betydligt svårare.

WhatsApp och Outlook förvandlades till verktyg för distribution av skadlig kod

Vid sidan av banktrojanen använder laddaren en maskkomponent som ansvarar för att sprida infektionen i stor skala via både WhatsApp Web och Microsoft Outlook. WhatsApp-modulen kapar autentiserade webbläsarsessioner och använder det öppna källkoden WPPConnect-projektet för att automatisera meddelandeleverans till offrens kontakter. För att förbättra effektiviteten i målinriktningen filtrerar skadlig kod bort gruppchattar, sändningslistor och telefonnummer utanför Brasilien.

Outlook-komponenten fungerar som en nätfiske-spamrobot genom att missbruka offrets installerade Microsoft Outlook-program för att distribuera skadliga e-postmeddelanden direkt från offrets egen adress. Eftersom dessa meddelanden kommer från legitima konton och betrodd infrastruktur, har traditionella spamfilter och ryktesbaserade säkerhetssystem svårt att upptäcka den skadliga aktiviteten.

Skadlig programvara kan enligt uppgift spamma upp till 3 000 kontakter med hjälp av komprometterade WhatsApp-sessioner och Outlook-konton, vilket dramatiskt ökar kampanjens räckvidd samtidigt som den utnyttjar befintliga förtroendeförhållanden mellan offer och deras kontakter.

Tecken på ett växande hotlandskap

Forskare tror att REF3076 fortfarande är i ett tidigt operativt skede. Bevis som felsökningsloggningsvägar, oavslutad nätfiskeinfrastruktur och namn på testprocesser tyder på att operatörerna fortsätter att förfina och utöka kampanjen.

TCLBANKER belyser också den snabba utvecklingen som sker inom det brasilianska ekosystemet för bankskadlig programvara. Tekniker som tidigare bara förknippades med mycket sofistikerade hotaktörer dyker nu upp i cyberbrottsoperationer av hög standard. Dessa funktioner inkluderar:

  • Miljöbaserad nyttolastadkryptering
  • Direkt generering av syscall
  • Realtidsbaserad WebSocket-driven social ingenjörskonst
  • Spridning av betrodda meddelanden via kapade kommunikationsplattformar

Genom att missbruka legitima WhatsApp- och Outlook-sessioner kringgår TCLBANKER effektivt många konventionella säkerhetsförsvar. Kampanjen visar hur moderna banktrojaner i allt högre grad kombinerar avancerad stealth-, automatiserings- och social engineering-tekniker för att skapa mycket motståndskraftiga och skalbara cyberkriminella operationer.

Trendigt

Mest sedda

Läser in...