TCLBANKER బ్యాంకింగ్ ట్రోజన్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు TCLBANKER అనే పేరుతో ఇంతకుముందు నమోదుకాని ఒక బ్రెజిలియన్ బ్యాంకింగ్ ట్రోజన్‌ను కనుగొన్నారు. ఇది 59 బ్యాంకింగ్, ఫిన్‌టెక్ మరియు క్రిప్టోకరెన్సీ ప్లాట్‌ఫారమ్‌లను లక్ష్యంగా చేసుకుని రూపొందించబడిన అత్యంత అధునాతన మాల్‌వేర్ రకం. ఈ క్యాంపెయిన్‌ను ప్రస్తుతం REF3076 అనే పేరుతో ట్రాక్ చేస్తున్నారు. ఇది, గతంలో వాటర్ సాసి థ్రెట్ క్లస్టర్‌తో సంబంధం ఉన్న అపఖ్యాతి పాలైన మావెరిక్ మాల్‌వేర్ కుటుంబం యొక్క ఒక ముఖ్యమైన పరిణామాన్ని సూచిస్తుందని భావిస్తున్నారు.

TCLBANKER, అధునాతన విశ్లేషణ నిరోధక యంత్రాంగాలు, రహస్య పేలోడ్ పంపిణీ, మరియు రాజీపడిన కమ్యూనికేషన్ ప్లాట్‌ఫారమ్‌ల ద్వారా భారీ-స్థాయి వ్యాప్తి సామర్థ్యాలను ఏకీకృతం చేయడం ద్వారా మునుపటి దాడి పద్ధతులను మరింత విస్తరిస్తుంది.

తప్పించుకోవడానికి నిర్మించిన రహస్య సంక్రమణ గొలుసు

ఈ దాడి, Logi AI ప్రాంప్ట్ బిల్డర్ అనే చట్టబద్ధంగా సంతకం చేయబడిన లాజిటెక్ అప్లికేషన్‌ను దుర్వినియోగం చేసే MSI ఇన్‌స్టాలర్‌ను కలిగి ఉన్న ఒక హానికరమైన ZIP ఆర్కైవ్‌తో మొదలవుతుంది. DLL సైడ్-లోడింగ్ ద్వారా, ఈ మాల్వేర్ విశ్వసనీయమైన అప్లికేషన్‌ను 'screen_retriever_plugin.dll' అనే హానికరమైన లైబ్రరీని లోడ్ చేసేలా బలవంతం చేస్తుంది, ఇది ప్రాథమిక లోడర్‌గా పనిచేస్తుంది.

ఈ లోడర్, గుర్తింపును తప్పించుకోవడానికి ప్రత్యేకంగా రూపొందించబడిన ఒక విస్తృతమైన వాచ్‌డాగ్ సబ్‌సిస్టమ్‌ను కలిగి ఉంది. ఇది డీబగ్గర్‌లు, యాంటీవైరస్ ఉత్పత్తులు, డిస్అసెంబ్లర్‌లు, శాండ్‌బాక్స్‌లు మరియు ఇన్‌స్ట్రుమెంటేషన్ టూల్స్‌తో సహా భద్రత మరియు విశ్లేషణ వాతావరణాల కోసం నిరంతరం స్కాన్ చేస్తుంది. 'logiaipromptbuilder.exe' లేదా 'tclloader.exe' వంటి ఆమోదించబడిన ప్రాసెస్‌ల ద్వారా DLL ప్రారంభించబడినప్పుడు మాత్రమే అమలు కొనసాగుతుంది, వీటిలో రెండవది బహుశా అంతర్గత పరీక్షకు సంబంధించినది.

భద్రతా పర్యవేక్షణను మరింతగా తప్పించుకోవడానికి, ఈ మాల్వేర్ ఎండ్‌పాయింట్ ప్రొటెక్షన్ సొల్యూషన్స్ ద్వారా 'ntdll.dll'లో ఉంచబడిన యూజర్‌మోడ్ హుక్స్‌ను తొలగిస్తుంది మరియు ఈవెంట్ ట్రేసింగ్ ఫర్ విండోస్ (ETW) టెలిమెట్రీని నిలిపివేస్తుంది. ఇది యాంటీ-డీబగ్గింగ్ తనిఖీలు, వర్చువలైజేషన్ గుర్తింపు, డిస్క్ సమాచారం మరియు ఆపరేటింగ్ సిస్టమ్ భాషా సెట్టింగ్‌ల ఆధారంగా బహుళ సిస్టమ్ ఫింగర్‌ప్రింట్‌లను కూడా సృష్టిస్తుంది. ఈ ఫింగర్‌ప్రింట్లు, పొందుపరిచిన పేలోడ్‌ను డీక్రిప్ట్ చేయడానికి ఉపయోగపడే ఒక ఎన్విరాన్‌మెంట్ హ్యాష్‌ను ఉత్పత్తి చేస్తాయి.

ఈ మాల్వేర్, లక్ష్య సిస్టమ్ బ్రెజిలియన్ పోర్చుగీస్ భాషను ఉపయోగిస్తుందో లేదో ప్రత్యేకంగా ధృవీకరిస్తుంది. డీబగ్గింగ్ లేదా విశ్లేషణకు సంబంధించిన ఏ చిన్న సూచన కనిపించినా, అది తప్పుడు హ్యాష్ విలువకు దారితీస్తుంది. దీనివల్ల పేలోడ్ డీక్రిప్షన్ విజయవంతం కాకుండా నిరోధించబడి, ఎగ్జిక్యూషన్ పూర్తిగా ఆగిపోతుంది.

పూర్తి సిస్టమ్ నియంత్రణ కోసం రూపొందించబడిన బ్యాంకింగ్ ట్రోజన్ సామర్థ్యాలు

యాంటీ-ఎనాలిసిస్ తనిఖీలు పూర్తయిన తర్వాత, ప్రాథమిక బ్యాంకింగ్ ట్రోజన్ అమలు చేయబడుతుంది. సిస్టమ్ ఒక బ్రెజిలియన్ వినియోగదారునికి చెందినదని నిర్ధారించుకున్న తర్వాత, మాల్వేర్ షెడ్యూల్డ్ టాస్క్‌ల ద్వారా తన ఉనికిని నిలుపుకుంటుంది మరియు సిస్టమ్ సమాచారాన్ని కలిగి ఉన్న HTTP POST అభ్యర్థనలను ఉపయోగించి ఒక బాహ్య కమాండ్-అండ్-కంట్రోల్ సర్వర్‌ను సంప్రదిస్తుంది.

TCLBANKER స్వీయ-అప్‌డేట్ కార్యాచరణను కలిగి ఉంటుంది మరియు UI ఆటోమేషన్ పద్ధతుల ద్వారా ఫోర్‌గ్రౌండ్ బ్రౌజర్ యొక్క అడ్రస్ బార్ నుండి URLలను సంగ్రహించడం ద్వారా బ్రౌజర్ కార్యకలాపాలను చురుకుగా పర్యవేక్షిస్తుంది. ఈ మాల్వేర్ విస్తృతంగా ఉపయోగించే బ్రౌజర్‌లను లక్ష్యంగా చేసుకుంటుంది, వాటిలో ఇవి ఉన్నాయి:

• గూగుల్ క్రోమ్
• మోజిల్లా ఫైర్‌ఫాక్స్

• మైక్రోసాఫ్ట్ ఎడ్జ్

• ధైర్యవంతుడు

• ఒపెరా

• వివాల్డి

పర్యవేక్షించబడుతున్న బ్యాంకింగ్ లేదా క్రిప్టోకరెన్సీ వెబ్‌సైట్‌ను గుర్తించినప్పుడు, TCLBANKER ఒక రిమోట్ సర్వర్‌కు వెబ్‌సాకెట్ కనెక్షన్‌ను తెరిచి, కమాండ్ ఎగ్జిక్యూషన్ లూప్‌లోకి ప్రవేశిస్తుంది. ఇది దాడి చేసేవారికి సిస్టమ్ నిఘా, క్లిప్‌బోర్డ్ మానిప్యులేషన్, కీలాగింగ్, స్క్రీన్‌షాట్ క్యాప్చర్, స్క్రీన్ స్ట్రీమింగ్, రిమోట్ మౌస్ మరియు కీబోర్డ్ నియంత్రణ, ప్రాసెస్ నిర్వహణ, మరియు నకిలీ క్రెడెన్షియల్-హార్వెస్టింగ్ ఓవర్‌లేల విస్తరణ వంటి అనేక రకాల హానికరమైన కార్యకలాపాలను రిమోట్‌గా నిర్వహించడానికి వీలు కల్పిస్తుంది.

అధునాతన సామాజిక ఇంజనీరింగ్ మరియు ఆధారాల దొంగతనం

TCLBANKER సున్నితమైన సమాచారాన్ని దొంగిలించడానికి సోషల్ ఇంజనీరింగ్‌పై ఎక్కువగా ఆధారపడుతుంది. ఈ మాల్వేర్, అత్యంత నమ్మశక్యమైన ఫిషింగ్ ఇంటర్‌ఫేస్‌లను ప్రదర్శించగల విండోస్ ప్రెజెంటేషన్ ఫౌండేషన్ (WPF) ఆధారిత ఫుల్-స్క్రీన్ ఓవర్‌లే ఫ్రేమ్‌వర్క్‌ను ఉపయోగిస్తుంది. ఈ ఓవర్‌లేలు, బాధితులను మోసగించి వారి ఆధారాలను వెల్లడించేలా చేయడానికి, చట్టబద్ధమైన బ్యాంకింగ్ ప్రాంప్ట్‌లు, నకిలీ విండోస్ అప్‌డేట్‌లు, ప్రోగ్రెస్ బార్‌లు మరియు వాయిస్-ఫిషింగ్ వెయిటింగ్ స్క్రీన్‌లను అనుకరిస్తాయి.

ముఖ్యంగా, ఈ ఓవర్‌లేలు స్క్రీన్-క్యాప్చర్ యుటిలిటీల నుండి దాగి ఉంటాయి, దీనివల్ల వాటిని గుర్తించడం మరియు ఫోరెన్సిక్ విశ్లేషణ చేయడం గణనీయంగా కష్టతరం అవుతుంది.

వాట్సాప్ మరియు అవుట్‌లుక్ మాల్‌వేర్ పంపిణీ సాధనాలుగా మారాయి

బ్యాంకింగ్ ట్రోజన్‌తో పాటు, ఈ లోడర్ ఒక వార్మింగ్ కాంపోనెంట్‌ను కూడా ప్రవేశపెడుతుంది. ఇది వాట్సాప్ వెబ్ మరియు మైక్రోసాఫ్ట్ ఔట్‌లుక్ రెండింటి ద్వారా ఇన్ఫెక్షన్‌ను పెద్ద ఎత్తున వ్యాప్తి చేయడానికి బాధ్యత వహిస్తుంది. ఈ వాట్సాప్ మాడ్యూల్, ప్రామాణీకరించబడిన బ్రౌజర్ సెషన్‌లను హైజాక్ చేసి, బాధితుల కాంటాక్ట్‌లకు సందేశాలను స్వయంచాలకంగా పంపడానికి ఓపెన్-సోర్స్ WPPConnect ప్రాజెక్ట్‌ను ఉపయోగిస్తుంది. టార్గెటింగ్ సామర్థ్యాన్ని మెరుగుపరచడానికి, ఈ మాల్వేర్ గ్రూప్ చాట్‌లు, బ్రాడ్‌కాస్ట్ జాబితాలు మరియు బ్రెజిలియన్ కాని ఫోన్ నంబర్‌లను ఫిల్టర్ చేస్తుంది.

ఔట్‌లుక్ కాంపోనెంట్, బాధితుడు ఇన్‌స్టాల్ చేసుకున్న మైక్రోసాఫ్ట్ ఔట్‌లుక్ అప్లికేషన్‌ను దుర్వినియోగం చేసి, బాధితుడి సొంత చిరునామా నుండే నేరుగా హానికరమైన ఇమెయిల్‌లను పంపిణీ చేయడం ద్వారా ఫిషింగ్ స్పామ్‌బాట్‌గా పనిచేస్తుంది. ఈ సందేశాలు చట్టబద్ధమైన ఖాతాలు మరియు విశ్వసనీయమైన మౌలిక సదుపాయాల నుండి వస్తాయి కాబట్టి, సాంప్రదాయ స్పామ్ ఫిల్టర్లు మరియు ప్రతిష్ట ఆధారిత భద్రతా వ్యవస్థలు ఈ హానికరమైన చర్యను గుర్తించడంలో ఇబ్బంది పడతాయి.

ఈ మాల్వేర్, హ్యాక్ చేయబడిన వాట్సాప్ సెషన్‌లు మరియు అవుట్‌లుక్ ఖాతాలను ఉపయోగించి 3,000 మంది కాంటాక్ట్‌ల వరకు స్పామ్ చేయగలదని, తద్వారా బాధితులు మరియు వారి కాంటాక్ట్‌ల మధ్య ఇప్పటికే ఉన్న నమ్మక సంబంధాలను దుర్వినియోగం చేస్తూ, ఆ క్యాంపెయిన్ పరిధిని గణనీయంగా పెంచుతుందని నివేదికలు చెబుతున్నాయి.

విస్తరిస్తున్న ముప్పు దృశ్యానికి సంకేతాలు

REF3076 ఇంకా దాని ప్రారంభ కార్యాచరణ దశలలో ఉందని పరిశోధకులు భావిస్తున్నారు. డీబగ్ లాగింగ్ మార్గాలు, అసంపూర్తిగా ఉన్న ఫిషింగ్ మౌలిక సదుపాయాలు మరియు పరీక్షా ప్రక్రియ పేర్ల వంటి ఆధారాలు, ఆపరేటర్లు ఈ ప్రచారాన్ని మెరుగుపరుస్తూ, విస్తరిస్తూనే ఉన్నారని సూచిస్తున్నాయి.

బ్రెజిలియన్ బ్యాంకింగ్ మాల్వేర్ వ్యవస్థలో వేగంగా జరుగుతున్న పరిణామాలను కూడా TCLBANKER హైలైట్ చేస్తుంది. ఒకప్పుడు అత్యంత అధునాతన ముప్పు కలిగించేవారికి మాత్రమే పరిమితమైన టెక్నిక్‌లు ఇప్పుడు సాధారణ సైబర్ క్రైమ్ కార్యకలాపాలలో కనిపిస్తున్నాయి. ఈ సామర్థ్యాలలో ఇవి ఉన్నాయి:

• పర్యావరణ-ఆధారిత పేలోడ్ డీక్రిప్షన్
• ప్రత్యక్ష సిస్కాల్ ఉత్పత్తి
• రియల్ టైమ్ వెబ్‌సాకెట్ ఆధారిత సోషల్ ఇంజనీరింగ్
• హైజాక్ చేయబడిన కమ్యూనికేషన్ ప్లాట్‌ఫారమ్‌ల ద్వారా విశ్వసనీయ సందేశ వ్యాప్తి

చట్టబద్ధమైన వాట్సాప్ మరియు అవుట్‌లుక్ సెషన్‌లను దుర్వినియోగం చేయడం ద్వారా, TCLBANKER అనేక సాంప్రదాయ భద్రతా రక్షణలను సమర్థవంతంగా అధిగమిస్తుంది. అత్యంత పటిష్టమైన మరియు విస్తరించగల సైబర్ నేర కార్యకలాపాలను సృష్టించడానికి, ఆధునిక బ్యాంకింగ్ ట్రోజన్లు అధునాతన రహస్యత, ఆటోమేషన్ మరియు సోషల్ ఇంజనీరింగ్ పద్ధతులను ఎలా ఎక్కువగా మిళితం చేస్తున్నాయో ఈ ప్రచారం ప్రదర్శిస్తుంది.