TCLBANKER มัลแวร์ประเภทโทรจันสำหรับธนาคาร

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์โทรจันสำหรับธนาคารจากบราซิลที่ไม่เคยมีการบันทึกมาก่อน ซึ่งรู้จักกันในชื่อ TCLBANKER เป็นมัลแวร์ขั้นสูงที่ออกแบบมาเพื่อโจมตีแพลตฟอร์มด้านการธนาคาร ฟินเทค และคริปโตเคอร์เรนซีจำนวน 59 แห่ง ปัจจุบันแคมเปญนี้ถูกติดตามภายใต้ชื่อ REF3076 และเชื่อว่าเป็นการพัฒนาที่สำคัญของตระกูลมัลแวร์ Maverick ที่มีชื่อเสียงในทางไม่ดี ซึ่งก่อนหน้านี้เกี่ยวข้องกับกลุ่มภัยคุกคาม Water Saci

TCLBANKER พัฒนาต่อยอดจากวิธีการโจมตีแบบเดิม โดยผสานรวมกลไกต่อต้านการวิเคราะห์ขั้นสูง การส่งเพย์โหลดที่เน้นการซ่อนเร้น และความสามารถในการแพร่กระจายในวงกว้างผ่านแพลตฟอร์มการสื่อสารที่ถูกบุกรุก

ห่วงโซ่การติดเชื้อที่ซ่อนเร้น สร้างขึ้นเพื่อการหลบเลี่ยง

การโจมตีเริ่มต้นด้วยไฟล์ ZIP ที่เป็นอันตรายซึ่งบรรจุตัวติดตั้ง MSI ที่ใช้ประโยชน์จากแอปพลิเคชัน Logitech ที่ลงนามอย่างถูกต้องตามกฎหมายชื่อ Logi AI Prompt Builder โดยผ่านการโหลด DLL จากด้านข้าง มัลแวร์จะบังคับให้แอปพลิเคชันที่เชื่อถือได้โหลดไลบรารีที่เป็นอันตรายชื่อ 'screen_retriever_plugin.dll' ซึ่งทำหน้าที่เป็นตัวโหลดหลัก

โปรแกรมโหลดนี้มีระบบตรวจสอบความปลอดภัยที่ครอบคลุม ซึ่งได้รับการออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงการตรวจจับ มันจะสแกนหาสภาพแวดล้อมด้านความปลอดภัยและการวิเคราะห์อย่างต่อเนื่อง รวมถึงดีบักเกอร์ ผลิตภัณฑ์ป้องกันไวรัส โปรแกรมถอดรหัส แซนด์บ็อกซ์ และเครื่องมือตรวจสอบต่างๆ การทำงานจะดำเนินต่อไปก็ต่อเมื่อไฟล์ DLL ถูกเรียกใช้โดยกระบวนการที่ได้รับอนุญาต เช่น 'logiaipromptbuilder.exe' หรือ 'tclloader.exe' ซึ่งอย่างหลังน่าจะเชื่อมโยงกับการทดสอบภายใน

เพื่อหลีกเลี่ยงการตรวจสอบความปลอดภัยเพิ่มเติม มัลแวร์จะลบฮุกโหมดผู้ใช้ที่วางไว้ภายใน 'ntdll.dll' โดยโซลูชันการป้องกันปลายทาง และปิดใช้งานการส่งข้อมูลทางไกล Event Tracing for Windows (ETW) นอกจากนี้ยังสร้างลายนิ้วมือระบบหลายรายการโดยอิงจากการตรวจสอบการต่อต้านการดีบัก การตรวจจับการจำลองเสมือน ข้อมูลดิสก์ และการตั้งค่าภาษาของระบบปฏิบัติการ ลายนิ้วมือเหล่านี้สร้างแฮชสภาพแวดล้อมที่ใช้ในการถอดรหัสเพย์โหลดที่ฝังอยู่

มัลแวร์จะตรวจสอบโดยเฉพาะว่าระบบเป้าหมายใช้ภาษาโปรตุเกสบราซิลหรือไม่ หากพบการดีบักหรือการวิเคราะห์ใดๆ จะส่งผลให้ค่าแฮชไม่ถูกต้อง ทำให้ไม่สามารถถอดรหัสข้อมูลได้และหยุดการทำงานโดยสิ้นเชิง

ความสามารถของมัลแวร์โทรจันโจมตีระบบธนาคารที่ออกแบบมาเพื่อควบคุมระบบอย่างสมบูรณ์

เมื่อการตรวจสอบการป้องกันการวิเคราะห์เสร็จสิ้น มัลแวร์โทรจันโจมตีระบบธนาคารหลักจะถูกติดตั้ง หลังจากยืนยันว่าระบบเป็นของผู้ใช้ชาวบราซิลแล้ว มัลแวร์จะสร้างการคงอยู่ผ่านงานที่กำหนดไว้ล่วงหน้า และติดต่อเซิร์ฟเวอร์ควบคุมภายนอกโดยใช้คำขอ HTTP POST ที่มีข้อมูลระบบ

TCLBANKER มีฟังก์ชันอัปเดตตัวเองและตรวจสอบกิจกรรมของเบราว์เซอร์อย่างต่อเนื่องโดยการดึง URL จากแถบที่อยู่ของเบราว์เซอร์ที่ใช้งานอยู่ผ่านเทคนิค UI Automation มัลแวร์นี้มุ่งเป้าไปที่เบราว์เซอร์ที่ใช้กันอย่างแพร่หลาย รวมถึง:

• กูเกิล โครม
• Mozilla Firefox

• ไมโครซอฟต์ เอดจ์

• กล้าหาญ

• โอเปร่า

• วิวัลดี

เมื่อตรวจพบเว็บไซต์ธนาคารหรือเว็บไซต์สกุลเงินดิจิทัลที่ถูกตรวจสอบ TCLBANKER จะเปิดการเชื่อมต่อ WebSocket ไปยังเซิร์ฟเวอร์ระยะไกลและเข้าสู่ลูปการเรียกใช้คำสั่ง ซึ่งช่วยให้ผู้โจมตีสามารถดำเนินการกิจกรรมที่เป็นอันตรายได้หลากหลายจากระยะไกล รวมถึงการสอดแนมระบบ การจัดการคลิปบอร์ด การบันทึกการกดแป้นพิมพ์ การจับภาพหน้าจอ การสตรีมหน้าจอ การควบคุมเมาส์และแป้นพิมพ์จากระยะไกล การจัดการกระบวนการ และการติดตั้งโอเวอร์เลย์ปลอมเพื่อเก็บรวบรวมข้อมูลประจำตัว

การหลอกลวงทางสังคมขั้นสูงและการขโมยข้อมูลประจำตัว

TCLBANKER อาศัยกลวิธีทางสังคมในการหลอกลวงเพื่อขโมยข้อมูลสำคัญ มัลแวร์นี้ใช้เฟรมเวิร์กโอเวอร์เลย์แบบเต็มหน้าจอที่ใช้ Windows Presentation Foundation (WPF) ซึ่งสามารถแสดงอินเทอร์เฟซฟิชชิงที่ดูสมจริงมาก โอเวอร์เลย์เหล่านี้เลียนแบบข้อความแจ้งเตือนการทำธุรกรรมธนาคารที่ถูกต้อง การอัปเดต Windows ปลอม แถบแสดงความคืบหน้า และหน้าจอรอสายแบบฟิชชิงทางเสียง ซึ่งออกแบบมาเพื่อหลอกล่อเหยื่อให้เปิดเผยข้อมูลส่วนตัว

ที่สำคัญคือ ภาพซ้อนทับเหล่านี้ถูกซ่อนจากโปรแกรมจับภาพหน้าจอ ทำให้การตรวจจับและการวิเคราะห์ทางนิติวิทยาศาสตร์ทำได้ยากขึ้นอย่างมาก

WhatsApp และ Outlook กลายเป็นเครื่องมือในการแพร่กระจายมัลแวร์

นอกเหนือจากมัลแวร์ประเภทโทรจันที่โจมตีระบบธนาคารแล้ว ตัวโหลดมัลแวร์ยังติดตั้งส่วนประกอบเวิร์มที่ทำหน้าที่แพร่กระจายการติดเชื้อในวงกว้างผ่านทั้ง WhatsApp Web และ Microsoft Outlook โมดูล WhatsApp จะเข้าควบคุมเซสชันเบราว์เซอร์ที่ได้รับการยืนยันตัวตนแล้ว และใช้โครงการโอเพนซอร์ส WPPConnect เพื่อส่งข้อความไปยังผู้ติดต่อของเหยื่อโดยอัตโนมัติ เพื่อเพิ่มประสิทธิภาพในการกำหนดเป้าหมาย มัลแวร์จะกรองแชทกลุ่ม รายชื่อผู้รับแบบกระจาย และหมายเลขโทรศัพท์ที่ไม่ใช่ของบราซิลออกไป

ส่วนประกอบของ Outlook ทำหน้าที่เป็นสแปมบอทหลอกลวง โดยใช้ประโยชน์จากแอปพลิเคชัน Microsoft Outlook ที่ติดตั้งไว้ในเครื่องของเหยื่อ เพื่อส่งอีเมลที่เป็นอันตรายโดยตรงจากที่อยู่อีเมลของเหยื่อเอง เนื่องจากข้อความเหล่านี้มาจากบัญชีที่ถูกต้องและโครงสร้างพื้นฐานที่น่าเชื่อถือ ตัวกรองสแปมแบบดั้งเดิมและระบบรักษาความปลอดภัยที่อิงตามชื่อเสียงจึงตรวจจับกิจกรรมที่เป็นอันตรายได้ยาก

มีรายงานว่ามัลแวร์ดังกล่าวสามารถส่งสแปมไปยังผู้ติดต่อได้มากถึง 3,000 ราย โดยใช้เซสชัน WhatsApp และบัญชี Outlook ที่ถูกแฮ็ก ซึ่งจะเพิ่มขอบเขตการเข้าถึงของแคมเปญอย่างมาก ในขณะเดียวกันก็ใช้ประโยชน์จากความสัมพันธ์ที่ไว้วางใจกันระหว่างเหยื่อและผู้ติดต่อของพวกเขา

สัญญาณบ่งชี้ถึงขอบเขตภัยคุกคามที่ขยายตัวมากขึ้น

นักวิจัยเชื่อว่า REF3076 ยังอยู่ในช่วงเริ่มต้นของการใช้งาน หลักฐานต่างๆ เช่น เส้นทางบันทึกข้อมูลการแก้ไขข้อผิดพลาด โครงสร้างพื้นฐานการหลอกลวงที่ยังสร้างไม่เสร็จ และชื่อกระบวนการทดสอบ บ่งชี้ว่าผู้ดำเนินการยังคงปรับปรุงและขยายแคมเปญต่อไป

นอกจากนี้ TCLBANKER ยังเน้นย้ำถึงวิวัฒนาการอย่างรวดเร็วที่เกิดขึ้นภายในระบบนิเวศของมัลแวร์ด้านการธนาคารในบราซิล เทคนิคที่เคยพบได้เฉพาะในกลุ่มผู้ก่อภัยคุกคามที่มีความซับซ้อนสูง กำลังปรากฏให้เห็นในปฏิบัติการอาชญากรรมไซเบอร์ทั่วไป ความสามารถเหล่านี้รวมถึง:

• การถอดรหัสข้อมูลตามสภาพแวดล้อม
• การสร้าง syscall โดยตรง
• การหลอกลวงทางสังคมที่ขับเคลื่อนด้วย WebSocket แบบเรียลไทม์
• การเผยแพร่ข้อความที่เชื่อถือได้ผ่านแพลตฟอร์มการสื่อสารที่ถูกแฮ็ก

ด้วยการใช้ประโยชน์จากเซสชัน WhatsApp และ Outlook ที่ถูกต้องตามกฎหมาย TCLBANKER สามารถหลีกเลี่ยงระบบป้องกันความปลอดภัยแบบดั้งเดิมได้หลายวิธี แคมเปญนี้แสดงให้เห็นว่ามัลแวร์ประเภทโทรจันที่โจมตีระบบธนาคารในปัจจุบันมีการผสมผสานเทคนิคการซ่อนตัว การทำงานอัตโนมัติ และการใช้เทคนิคทางสังคมขั้นสูงมากขึ้นเรื่อยๆ เพื่อสร้างการปฏิบัติการอาชญากรไซเบอร์ที่มีความยืดหยุ่นและขยายขนาดได้สูง