TCLBANKER வங்கி ட்ரோஜன்

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், TCLBANKER எனப்படும், இதற்கு முன் ஆவணப்படுத்தப்படாத ஒரு பிரேசிலிய வங்கி ட்ரோஜனைக் கண்டுபிடித்துள்ளனர். இது 59 வங்கி, நிதி தொழில்நுட்பம் மற்றும் கிரிப்டோகரன்சி தளங்களைக் குறிவைக்கும் வகையில் வடிவமைக்கப்பட்ட மிகவும் மேம்பட்ட தீம்பொருள் வகையாகும். இந்தத் தாக்குதல் தற்போது REF3076 என்ற பெயரில் கண்காணிக்கப்படுகிறது. மேலும் இது, முன்னர் வாட்டர் சாசி அச்சுறுத்தல் குழுமத்துடன் தொடர்புடைய, பெயர்போன மேவரிக் தீம்பொருள் குடும்பத்தின் ஒரு குறிப்பிடத்தக்க பரிணாம வளர்ச்சியைக் குறிப்பதாக நம்பப்படுகிறது.

TCLBANKER ஆனது, மேம்பட்ட பகுப்பாய்வு-எதிர்ப்பு வழிமுறைகள், மறைவாகத் தாக்கும் திறன் கொண்ட தரவு விநியோகம், மற்றும் ஊடுருவப்பட்ட தகவல் தொடர்புத் தளங்கள் வழியாகப் பெரிய அளவில் பரப்பும் திறன்கள் ஆகியவற்றை ஒருங்கிணைப்பதன் மூலம், முந்தைய தாக்குதல் முறைகளை விட மேம்பட்டதாக விளங்குகிறது.

தப்பிப்பதற்காக உருவாக்கப்பட்ட ஒரு மறைமுகமான தொற்றுச் சங்கிலி

இந்தத் தாக்குதல், Logi AI Prompt Builder எனப்படும் சட்டப்பூர்வமாக கையொப்பமிடப்பட்ட லாஜிடெக் பயன்பாட்டைத் தவறாகப் பயன்படுத்தும் ஒரு MSI இன்ஸ்டாலரைக் கொண்ட தீங்கிழைக்கும் ZIP காப்பகத்துடன் தொடங்குகிறது. DLL சைடு-லோடிங் மூலம், அந்த மால்வேர், நம்பகமான பயன்பாட்டை 'screen_retriever_plugin.dll' என்ற தீங்கிழைக்கும் லைப்ரரியை ஏற்றும்படி கட்டாயப்படுத்துகிறது, இதுவே முதன்மை லோடராகச் செயல்படுகிறது.

இந்த லோடர், கண்டறிதலைத் தவிர்ப்பதற்காகவே பிரத்யேகமாக வடிவமைக்கப்பட்ட ஒரு விரிவான கண்காணிப்புத் துணை அமைப்பைக் கொண்டுள்ளது. இது டீபக்கர்கள், வைரஸ் தடுப்பு மென்பொருட்கள், டிஸ்அசெம்ப்ளர்கள், சாண்ட்பாக்ஸ்கள் மற்றும் அளவீட்டுக் கருவிகள் உள்ளிட்ட பாதுகாப்பு மற்றும் பகுப்பாய்வுச் சூழல்களைத் தொடர்ந்து ஸ்கேன் செய்கிறது. 'logiaipromptbuilder.exe' அல்லது 'tclloader.exe' போன்ற அங்கீகரிக்கப்பட்ட செயல்முறைகளால் DLL தொடங்கப்படும்போது மட்டுமே செயலாக்கம் தொடர்கிறது; இதில் பிந்தையது பெரும்பாலும் உள் சோதனையுடன் தொடர்புடையதாக இருக்கலாம்.

பாதுகாப்புக் கண்காணிப்பை மேலும் தவிர்ப்பதற்காக, இந்த மால்வேர், எண்ட்பாயிண்ட் பாதுகாப்புத் தீர்வுகளால் 'ntdll.dll' கோப்பில் வைக்கப்பட்டுள்ள யூசர்மோட் ஹூக்குகளை நீக்குகிறது மற்றும் விண்டோஸுக்கான ஈவென்ட் டிரேசிங் (ETW) டெலிமெட்ரியை முடக்குகிறது. மேலும், இது ஆன்டி-டிபக்கிங் சோதனைகள், விர்ச்சுவலைசேஷன் கண்டறிதல், வட்டுத் தகவல் மற்றும் இயக்க முறைமை மொழி அமைப்புகளின் அடிப்படையில் பல சிஸ்டம் ஃபிங்கர்பிரிண்ட்களை உருவாக்குகிறது. இந்த ஃபிங்கர்பிரிண்ட்கள், உட்பொதிக்கப்பட்ட பேலோடை மறைகுறியாக்கம் செய்யப் பயன்படும் ஒரு என்விரான்மென்ட் ஹாஷை உருவாக்குகின்றன.

இந்த தீம்பொருள், இலக்கு அமைப்பு பிரேசிலிய போர்த்துகீசிய மொழியைப் பயன்படுத்துகிறதா என்பதை குறிப்பாகச் சரிபார்க்கிறது. பிழைதிருத்தம் அல்லது பகுப்பாய்வின் எந்தவொரு அறிகுறியும் தவறான ஹாஷ் மதிப்பில் முடிந்து, பேலோடின் வெற்றிகரமான மறைகுறியாக்க நீக்கத்தைத் தடுத்து, செயல்பாட்டை முழுவதுமாக நிறுத்திவிடுகிறது.

முழு அமைப்பு கட்டுப்பாட்டிற்காக வடிவமைக்கப்பட்ட வங்கி ட்ரோஜன் திறன்கள்

பகுப்பாய்வு எதிர்ப்புச் சோதனைகள் முடிந்தவுடன், முதன்மை வங்கி ட்ரோஜன் செலுத்தப்படுகிறது. கணினி ஒரு பிரேசிலியப் பயனருக்குச் சொந்தமானது என்பதை உறுதிசெய்த பிறகு, அந்த மால்வேர் திட்டமிடப்பட்ட பணிகளின் மூலம் நிலைத்தன்மையை ஏற்படுத்தி, கணினித் தகவல்களைக் கொண்ட HTTP POST கோரிக்கைகளைப் பயன்படுத்தி ஒரு வெளிப்புறக் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்தைத் தொடர்பு கொள்கிறது.

TCLBANKER ஆனது, தானாகவே புதுப்பிக்கும் செயல்பாட்டைக் கொண்டுள்ளதுடன், UI ஆட்டோமேஷன் நுட்பங்கள் மூலம் முன்புற உலாவியின் முகவரிப் பட்டையிலிருந்து URL-களைப் பிரித்தெடுத்து, உலாவியின் செயல்பாட்டைத் தீவிரமாகக் கண்காணிக்கிறது. இந்த மால்வேர், பரவலாகப் பயன்படுத்தப்படும் உலாவிகளை இலக்காகக் கொண்டுள்ளது, அவற்றுள் சில:

• கூகிள் குரோம்
• மொஸில்லா ஃபயர்பாக்ஸ்

• மைக்ரோசாப்ட் எட்ஜ்

• தைரியமான

• ஓபரா

• விவால்டி

கண்காணிக்கப்படும் வங்கி அல்லது கிரிப்டோகரன்சி இணையதளம் ஒன்று கண்டறியப்படும்போது, TCLBANKER ஒரு தொலைநிலை சேவையகத்திற்கு WebSocket இணைப்பைத் திறந்து, கட்டளைச் செயலாக்கச் சுழற்சிக்குள் நுழைகிறது. இது, கணினி உளவு, கிளிப்போர்டு கையாளுதல், விசைப்பதிவு, திரைப்பிடிப்பு எடுத்தல், திரைவழி ஒளிபரப்பு, தொலைநிலை சுட்டி மற்றும் விசைப்பலகைக் கட்டுப்பாடு, செயல்முறை மேலாண்மை, மற்றும் போலி நற்சான்றிதழ் சேகரிக்கும் மேலடுக்குகளைப் பயன்படுத்துதல் உள்ளிட்ட பல்வேறு தீங்கிழைக்கும் செயல்பாடுகளைத் தாக்குபவர்கள் தொலைவிலிருந்து செய்ய உதவுகிறது.

மேம்பட்ட சமூகப் பொறியியல் மற்றும் நற்சான்றிதழ் திருட்டு

TCLBANKER, முக்கியமான தகவல்களைத் திருடுவதற்கு சமூகப் பொறியியலை பெருமளவில் நம்பியுள்ளது. இந்த மால்வேர், மிகவும் நம்பத்தகுந்த ஃபிஷிங் இடைமுகங்களைக் காண்பிக்கும் திறன் கொண்ட, விண்டோஸ் பிரசன்டேஷன் ஃபவுண்டேஷன் (WPF) அடிப்படையிலான ஒரு முழுத்திரை மேலடுக்குக் கட்டமைப்பைப் பயன்படுத்துகிறது. இந்த மேலடுக்குகள், பாதிக்கப்பட்டவர்களைத் தங்கள் அடையாள விவரங்களை வெளிப்படுத்தும்படி கையாளுவதற்காக வடிவமைக்கப்பட்ட, முறையான வங்கி அறிவிப்புகள், போலி விண்டோஸ் புதுப்பிப்புகள், முன்னேற்றப் பட்டைகள் மற்றும் குரல்வழி ஃபிஷிங் காத்திருப்புத் திரைகள் போன்றவற்றைப் போலக் காட்டுகின்றன.

குறிப்பாக, இந்த மேலடுக்குகள் திரைப்பிடிப்பு கருவிகளிலிருந்து மறைக்கப்படுவதால், அவற்றைக் கண்டறிவதும் தடயவியல் பகுப்பாய்வு செய்வதும் மிகவும் கடினமாகிறது.

வாட்ஸ்அப் மற்றும் அவுட்லுக் தீம்பொருள் விநியோகக் கருவிகளாக மாற்றப்பட்டுள்ளன

வங்கி ட்ரோஜனுடன் சேர்த்து, இந்த லோடர் ஒரு வார்மிங் கூறையும் நிறுவுகிறது. இது வாட்ஸ்அப் வெப் மற்றும் மைக்ரோசாஃப்ட் அவுட்லுக் ஆகிய இரண்டின் வழியாகவும் நோய்த்தொற்றைப் பெருமளவில் பரப்புவதற்குப் பொறுப்பாகும். இந்த வாட்ஸ்அப் கூறு, அங்கீகரிக்கப்பட்ட உலாவி அமர்வுகளைக் கைப்பற்றி, பாதிக்கப்பட்டவர்களின் தொடர்புகளுக்குச் செய்திகளைத் தானியங்கு முறையில் அனுப்புவதற்காக ஓப்பன்-சோர்ஸ் WPPConnect திட்டத்தைப் பயன்படுத்துகிறது. இலக்கு வைக்கும் திறனை மேம்படுத்துவதற்காக, இந்த மால்வேர் குழு அரட்டைகள், பிராட்காஸ்ட் பட்டியல்கள் மற்றும் பிரேசிலியர் அல்லாத தொலைபேசி எண்களை வடிகட்டுகிறது.

இந்த அவுட்லுக் கூறு, பாதிக்கப்பட்டவரின் கணினியில் நிறுவப்பட்டுள்ள மைக்ரோசாஃப்ட் அவுட்லுக் செயலியைத் தவறாகப் பயன்படுத்தி, பாதிக்கப்பட்டவரின் சொந்த மின்னஞ்சல் முகவரியிலிருந்தே நேரடியாகத் தீங்கிழைக்கும் மின்னஞ்சல்களை விநியோகிப்பதன் மூலம் ஒரு ஃபிஷிங் ஸ்பேம்பாட்டாகச் செயல்படுகிறது. இந்தச் செய்திகள் முறையான கணக்குகள் மற்றும் நம்பகமான உள்கட்டமைப்பிலிருந்து வருவதால், வழக்கமான ஸ்பேம் வடிகட்டிகள் மற்றும் நற்பெயர் அடிப்படையிலான பாதுகாப்பு அமைப்புகளால் இந்தத் தீங்கிழைக்கும் செயல்பாட்டைக் கண்டறிய இயலாமல் திணறுகின்றன.

இந்த மால்வேர், பாதிக்கப்பட்ட வாட்ஸ்அப் மற்றும் அவுட்லுக் கணக்குகளைப் பயன்படுத்தி 3,000 தொடர்புகள் வரை ஸ்பேம் அனுப்பக்கூடியது என்றும், இதன்மூலம் பாதிக்கப்பட்டவர்களுக்கும் அவர்களது தொடர்புகளுக்கும் இடையே ஏற்கனவே இருக்கும் நம்பிக்கை உறவுகளைச் சுரண்டிக்கொண்டு, இந்தத் தாக்குதலின் வீச்சை வியத்தகு முறையில் அதிகரிக்கிறது என்றும் கூறப்படுகிறது.

விரிவடைந்து வரும் அச்சுறுத்தல் நிலப்பரப்பின் அறிகுறிகள்

REF3076 இன்னும் அதன் ஆரம்பகட்ட செயல்பாட்டு நிலையில் இருப்பதாக ஆராய்ச்சியாளர்கள் நம்புகின்றனர். பிழைதிருத்தப் பதிவுப் பாதைகள், முழுமையடையாத ஃபிஷிங் உள்கட்டமைப்பு மற்றும் சோதனைச் செயல்முறைப் பெயர்கள் போன்ற ஆதாரங்கள், இதன் இயக்குநர்கள் இந்தத் தாக்குதலைத் தொடர்ந்து செம்மைப்படுத்தி விரிவுபடுத்தி வருவதைக் காட்டுகின்றன.

பிரேசிலிய வங்கி தீம்பொருள் சூழலமைப்பில் நிகழும் விரைவான பரிணாம வளர்ச்சியையும் TCLBANKER எடுத்துக்காட்டுகிறது. ஒரு காலத்தில் மிகவும் நுட்பமான அச்சுறுத்தல் செய்பவர்களுடன் மட்டுமே தொடர்புடைய நுட்பங்கள், இப்போது சாதாரண இணையக் குற்றச் செயல்பாடுகளில் தோன்றுகின்றன. இந்தத் திறன்களில் பின்வருவன அடங்கும்:

• சூழல் அடிப்படையிலான பேலோட் மறைகுறியாக்க நீக்கம்
• நேரடி சிஸ்டம் அழைப்பு உருவாக்கம்
• நிகழ்நேர வெப்சாக்கெட் மூலம் இயக்கப்படும் சமூகப் பொறியியல்
• கைப்பற்றப்பட்ட தகவல் தொடர்பு தளங்கள் மூலம் நம்பகமான செய்திகளைப் பரப்புதல்

முறையான வாட்ஸ்அப் மற்றும் அவுட்லுக் அமர்வுகளைத் தவறாகப் பயன்படுத்துவதன் மூலம், TCLBANKER பல வழக்கமான பாதுகாப்பு அரண்களைத் திறம்படத் தவிர்க்கிறது. நவீன வங்கி ட்ரோஜன்கள், மிகவும் மீள்திறன் கொண்ட மற்றும் விரிவாக்கக்கூடிய இணையக் குற்றச் செயல்பாடுகளை உருவாக்குவதற்காக, மேம்பட்ட மறைநிலை, தானியக்கம் மற்றும் சமூகப் பொறியியல் நுட்பங்களை எவ்வாறு பெருகிய முறையில் ஒன்றிணைக்கின்றன என்பதை இந்தச் செயல்பாடு நிரூபிக்கிறது.