Trojan sa Pagbabangko ng TCLBANKER

Natuklasan ng mga mananaliksik sa cybersecurity ang isang dating hindi dokumentadong Brazilian banking trojan na kilala bilang TCLBANKER, isang mataas na advanced na malware strain na idinisenyo upang i-target ang 59 na banking, fintech, at cryptocurrency platform. Ang kampanya ay kasalukuyang sinusubaybayan sa ilalim ng pangalang REF3076 at pinaniniwalaang kumakatawan sa isang makabuluhang ebolusyon ng kilalang-kilalang pamilya ng malware na Maverick, na dating iniuugnay sa kumpol ng banta ng Water Saci.

Pinalalawak ng TCLBANKER ang mga naunang pamamaraan ng pag-atake sa pamamagitan ng pagsasama ng mga advanced na mekanismo ng anti-analysis, stealth-focused payload delivery, at malawakang kakayahan sa pagpapalaganap sa pamamagitan ng mga nakompromisong platform ng komunikasyon.

Isang Lihim na Kadena ng Impeksyon na Ginawa para sa Pag-iwas

Ang pag-atake ay nagsisimula sa isang malisyosong ZIP archive na naglalaman ng isang MSI installer na umaabuso sa isang lehitimong nilagdaang Logitech application na tinatawag na Logitech AI Prompt Builder. Sa pamamagitan ng DLL side-loading, pinipilit ng malware ang pinagkakatiwalaang application na mag-load ng isang malisyosong library na pinangalanang 'screen_retriever_plugin.dll,' na nagsisilbing pangunahing loader.

Ang loader na ito ay mayroong malawak na watchdog subsystem na partikular na ginawa upang maiwasan ang pagtuklas. Patuloy itong nag-i-scan para sa mga kapaligirang pangseguridad at pagsusuri, kabilang ang mga debugger, mga produktong antivirus, mga disassembler, mga sandbox, at mga tool sa instrumentasyon. Ang pagpapatupad ay nagpapatuloy lamang kapag ang DLL ay inilunsad ng mga aprubadong proseso tulad ng 'logiaipromptbuilder.exe' o 'tclloader.exe,' na malamang na nakaugnay sa internal testing.

Para higit pang maiwasan ang pagsubaybay sa seguridad, inaalis ng malware ang mga usermode hook na nakalagay sa loob ng 'ntdll.dll' ng mga endpoint protection solution at hindi pinapagana ang Event Tracing for Windows (ETW) telemetry. Lumilikha rin ito ng maraming system fingerprint batay sa mga anti-debugging check, virtualization detection, disk information, at mga setting ng wika ng operating system. Ang mga fingerprint na ito ay bumubuo ng environment hash na ginagamit upang i-decrypt ang naka-embed na payload.

Partikular na pinapatunayan ng malware kung gumagamit ang target na sistema ng Brazilian Portuguese. Anumang indikasyon ng pag-debug o pagsusuri ay nagreresulta sa maling hash value, na pumipigil sa matagumpay na pag-decrypt ng payload at tuluyang nagpapahinto sa pagpapatupad.

Mga Kakayahan ng Banking Trojan na Dinisenyo para sa Buong Kontrol ng Sistema

Kapag nakumpleto na ang mga pagsusuring anti-analysis, idi-deploy ang pangunahing banking trojan. Matapos kumpirmahin na ang sistema ay pagmamay-ari ng isang Brazilian user, ang malware ay magtatatag ng persistence sa pamamagitan ng mga naka-iskedyul na gawain at makikipag-ugnayan sa isang external command-and-control server gamit ang mga HTTP POST request na naglalaman ng impormasyon ng system.

Kasama sa TCLBANKER ang self-update functionality at aktibong sinusubaybayan ang aktibidad ng browser sa pamamagitan ng pagkuha ng mga URL mula sa address bar ng foreground browser gamit ang mga UI Automation techniques. Tinatarget ng malware ang mga malawakang ginagamit na browser, kabilang ang:

• Google Chrome
• Mozilla Firefox

• Microsoft Edge

• Matapang

• Opera

• Vivaldi

Kapag natukoy ang isang minomonitor na website ng pagbabangko o cryptocurrency, binubuksan ng TCLBANKER ang koneksyon ng WebSocket sa isang remote server at pumapasok sa isang command execution loop. Nagbibigay-daan ito sa mga attacker na malayuan na magsagawa ng malawak na hanay ng mga malisyosong aktibidad, kabilang ang system reconnaissance, clipboard manipulation, keylogging, screenshot capture, screen streaming, remote mouse at keyboard control, process management, at pag-deploy ng mga pekeng credential-harvesting overlay.

Advanced Social Engineering at Pagnanakaw ng Kredensyal

Malaki ang tiwala ng TCLBANKER sa social engineering upang magnakaw ng sensitibong impormasyon. Gumagamit ang malware ng isang full-screen overlay framework na nakabatay sa Windows Presentation Foundation (WPF) na may kakayahang magpakita ng lubos na nakakakumbinsing mga phishing interface. Ginagaya ng mga overlay na ito ang mga lehitimong prompt sa pagbabangko, pekeng mga update sa Windows, mga progress bar, at mga voice-phishing waiting screen na idinisenyo upang manipulahin ang mga biktima na ibunyag ang mga kredensyal.

Kapansin-pansin, ang mga overlay ay nakatago mula sa mga kagamitan sa pagkuha ng screen, na nagpapahirap sa pag-detect at forensic analysis.

Ang WhatsApp at Outlook ay Ginawang Mga Kagamitan sa Pamamahagi ng Malware

Kasama ng banking trojan, nagde-deploy ang loader ng worming component na responsable sa malawakang pagkalat ng impeksyon sa pamamagitan ng WhatsApp Web at Microsoft Outlook. Hina-hijack ng WhatsApp module ang mga authenticated browser session at ginagamit ang open-source na WPPConnect project para i-automate ang paghahatid ng mensahe sa mga contact ng mga biktima. Para mapabuti ang kahusayan sa pag-target, sinasala ng malware ang mga group chat, broadcast list, at mga numero ng telepono na hindi taga-Brazil.

Ang bahagi ng Outlook ay gumagana bilang isang phishing spambot sa pamamagitan ng pag-abuso sa naka-install na Microsoft Outlook application ng biktima upang mamahagi ng mga malisyosong email nang direkta mula sa sariling address ng biktima. Dahil ang mga mensaheng ito ay nagmumula sa mga lehitimong account at pinagkakatiwalaang imprastraktura, nahihirapan ang mga tradisyunal na spam filter at mga sistema ng seguridad na nakabatay sa reputasyon na matukoy ang malisyosong aktibidad.

Naiulat na kayang mag-spam ng malware ang hanggang 3,000 contact gamit ang mga nakompromisong WhatsApp session at Outlook account, na lubhang nagpapataas sa abot ng kampanya habang sinasamantala ang mga umiiral na ugnayan ng tiwala sa pagitan ng mga biktima at ng kanilang mga contact.

Mga Palatandaan ng Lumalawak na Banta

Naniniwala ang mga mananaliksik na ang REF3076 ay nasa mga unang yugto pa lamang ng operasyon. Ang mga ebidensya tulad ng mga debug logging path, hindi natapos na imprastraktura ng phishing, at mga pangalan ng proseso ng pagsubok ay nagmumungkahi na patuloy na pinipino at pinapalawak ng mga operator ang kampanya.

Itinatampok din ng TCLBANKER ang mabilis na ebolusyon na nagaganap sa loob ng ecosystem ng malware sa pagbabangko ng Brazil. Ang mga pamamaraan na dating nauugnay lamang sa mga sopistikadong aktor ng banta ay lumilitaw na ngayon sa mga operasyon ng commodity cybercrime. Kabilang sa mga kakayahang ito ang:

• Pag-decrypt ng payload na nakabatay sa kapaligiran
• Direktang pagbuo ng syscall
• Real-time na social engineering na pinapagana ng WebSocket
• Pagpapalaganap ng pinagkakatiwalaang mensahe sa pamamagitan ng mga na-hijack na platform ng komunikasyon

Sa pamamagitan ng pag-abuso sa mga lehitimong sesyon ng WhatsApp at Outlook, epektibong nilalampasan ng TCLBANKER ang maraming kumbensyonal na depensa sa seguridad. Ipinapakita ng kampanya kung paano lalong pinagsasama ng mga modernong trojan sa pagbabangko ang mga advanced na pamamaraan ng stealth, automation, at social engineering upang lumikha ng mga lubos na matatag at nasusukat na operasyon ng cybercriminal.