Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mobil Kötü Amaçlı Yazılım TCLBANKER Bankacılık Truva Atı

TCLBANKER Bankacılık Truva Atı

Mezo'de Mobil Kötü Amaçlı Yazılım, Bankacılık Truva Atı'de
Çevir:

Siber güvenlik araştırmacıları, daha önce belgelenmemiş, TCLBANKER olarak bilinen Brezilya menşeli bir bankacılık truva atını ortaya çıkardı. Bu son derece gelişmiş kötü amaçlı yazılım türü, 59 bankacılık, fintech ve kripto para platformunu hedeflemek üzere tasarlanmıştır. Kampanya şu anda REF3076 adı altında takip ediliyor ve daha önce Water Saci tehdit kümesiyle ilişkilendirilen kötü şöhretli Maverick kötü amaçlı yazılım ailesinin önemli bir evrimini temsil ettiği düşünülüyor.

TCLBANKER, gelişmiş analiz karşıtı mekanizmaları, gizliliğe odaklı yük dağıtımını ve ele geçirilmiş iletişim platformları aracılığıyla geniş ölçekli yayılma yeteneklerini entegre ederek önceki saldırı yöntemlerini genişletiyor.

Kaçınmak İçin Tasarlanmış Gizli Bir Enfeksiyon Zinciri

Saldırı, yasal olarak imzalanmış Logitech uygulaması olan Logi AI Prompt Builder'ı kötüye kullanan bir MSI yükleyici içeren kötü amaçlı bir ZIP arşiviyle başlar. Kötü amaçlı yazılım, DLL yan yüklemesi yoluyla, güvenilir uygulamayı birincil yükleyici görevi gören 'screen_retriever_plugin.dll' adlı kötü amaçlı bir kütüphaneyi yüklemeye zorlar.

Bu yükleyici, tespit edilmekten kaçınmak için özel olarak tasarlanmış kapsamlı bir gözetim alt sistemi içerir. Hata ayıklayıcılar, antivirüs ürünleri, disassembler'lar, sanal ortamlar ve enstrümantasyon araçları dahil olmak üzere güvenlik ve analiz ortamlarını sürekli olarak tarar. Çalıştırma yalnızca DLL, 'logiaipromptbuilder.exe' veya 'tclloader.exe' gibi onaylanmış işlemler tarafından başlatıldığında devam eder; ikincisi muhtemelen dahili testlerle bağlantılıdır.

Güvenlik izlemesinden daha da kaçınmak için, kötü amaçlı yazılım, uç nokta koruma çözümleri tarafından 'ntdll.dll' içine yerleştirilen kullanıcı modu kancalarını kaldırır ve Windows için Olay İzleme (ETW) telemetrisini devre dışı bırakır. Ayrıca, hata ayıklama önleme kontrollerine, sanallaştırma tespitine, disk bilgilerine ve işletim sistemi dil ayarlarına dayalı olarak birden fazla sistem parmak izi oluşturur. Bu parmak izleri, gömülü yükün şifresini çözmek için kullanılan bir ortam karması oluşturur.

Bu kötü amaçlı yazılım, hedef sistemin Brezilya Portekizcesi kullanıp kullanmadığını özellikle doğrular. Hata ayıklama veya analize dair herhangi bir belirti, yanlış bir karma değeriyle sonuçlanır; bu da yükün başarılı bir şekilde şifresinin çözülmesini engeller ve yürütmeyi tamamen durdurur.

Tam Sistem Kontrolü İçin Tasarlanmış Bankacılık Truva Atı Yetenekleri

Analiz karşıtı kontroller tamamlandıktan sonra, birincil bankacılık truva atı devreye alınır. Sistemin Brezilyalı bir kullanıcıya ait olduğunu doğruladıktan sonra, kötü amaçlı yazılım zamanlanmış görevler aracılığıyla kalıcılık sağlar ve sistem bilgilerini içeren HTTP POST istekleri kullanarak harici bir komuta ve kontrol sunucusuyla iletişim kurar.

TCLBANKER, otomatik güncelleme özelliğine sahiptir ve kullanıcı arayüzü otomasyon teknikleri aracılığıyla ön plandaki tarayıcının adres çubuğundan URL'leri çıkararak tarayıcı etkinliğini aktif olarak izler. Bu kötü amaçlı yazılım, aşağıdakiler de dahil olmak üzere yaygın olarak kullanılan tarayıcıları hedef alır:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Cesur
  • Opera
  • Vivaldi

İzlenen bir bankacılık veya kripto para birimi web sitesi tespit edildiğinde, TCLBANKER uzak bir sunucuya WebSocket bağlantısı açar ve komut yürütme döngüsüne girer. Bu, saldırganların uzaktan sistem keşfi, pano manipülasyonu, tuş kaydedici, ekran görüntüsü yakalama, ekran akışı, uzaktan fare ve klavye kontrolü, süreç yönetimi ve sahte kimlik bilgisi toplama katmanlarının dağıtımı dahil olmak üzere çok çeşitli kötü amaçlı faaliyetler gerçekleştirmesini sağlar.

Gelişmiş Sosyal Mühendislik ve Kimlik Bilgisi Hırsızlığı

TCLBANKER, hassas bilgileri çalmak için büyük ölçüde sosyal mühendisliğe dayanmaktadır. Bu kötü amaçlı yazılım, son derece ikna edici kimlik avı arayüzleri gösterebilen, Windows Presentation Foundation (WPF) tabanlı tam ekran yer paylaşımı çerçevesi kullanmaktadır. Bu yer paylaşımları, kurbanları kimlik bilgilerini ifşa etmeye yönlendirmek için tasarlanmış meşru bankacılık istemlerini, sahte Windows güncellemelerini, ilerleme çubuklarını ve sesli kimlik avı bekleme ekranlarını taklit etmektedir.

Özellikle, bu katmanlar ekran görüntüsü alma araçlarından gizlenmiştir, bu da tespit ve adli analizleri önemli ölçüde zorlaştırmaktadır.

WhatsApp ve Outlook, Zararlı Yazılım Dağıtım Araçlarına Dönüştürüldü

Bankacılık truva atının yanı sıra, yükleyici, hem WhatsApp Web hem de Microsoft Outlook aracılığıyla enfeksiyonu geniş ölçekte yaymaktan sorumlu bir solucan bileşeni de devreye sokar. WhatsApp modülü, kimliği doğrulanmış tarayıcı oturumlarını ele geçirir ve kurbanların kişilerine mesaj iletimini otomatikleştirmek için açık kaynaklı WPPConnect projesini kullanır. Hedefleme verimliliğini artırmak için, kötü amaçlı yazılım grup sohbetlerini, yayın listelerini ve Brezilya dışı telefon numaralarını filtreler.

Outlook bileşeni, kurbanın yüklü Microsoft Outlook uygulamasını kötüye kullanarak, kurbanın kendi adresinden doğrudan kötü amaçlı e-postalar göndererek bir kimlik avı spam botu gibi çalışır. Bu mesajlar meşru hesaplardan ve güvenilir altyapıdan kaynaklandığı için, geleneksel spam filtreleri ve itibar tabanlı güvenlik sistemleri kötü amaçlı etkinliği tespit etmekte zorlanır.

Söz konusu kötü amaçlı yazılımın, ele geçirilmiş WhatsApp oturumları ve Outlook hesapları kullanarak 3.000'e kadar kişiye spam gönderebildiği ve bu sayede kampanyanın erişimini önemli ölçüde artırırken, kurbanlar ile kişileri arasındaki mevcut güven ilişkilerini istismar ettiği bildiriliyor.

Genişleyen Tehdit Ortamının İşaretleri

Araştırmacılar, REF3076'nın henüz operasyonel aşamasının başlarında olduğuna inanıyor. Hata ayıklama günlük yolları, tamamlanmamış kimlik avı altyapısı ve test süreci adları gibi kanıtlar, operatörlerin kampanyayı iyileştirmeye ve genişletmeye devam ettiğini gösteriyor.

TCLBANKER ayrıca Brezilya bankacılık kötü amaçlı yazılım ekosisteminde yaşanan hızlı evrimi de vurguluyor. Bir zamanlar yalnızca son derece gelişmiş tehdit aktörleriyle ilişkilendirilen teknikler artık sıradan siber suç operasyonlarında da ortaya çıkıyor. Bu yetenekler şunları içeriyor:

  • Ortam tabanlı yük şifre çözme
  • Doğrudan sistem çağrısı oluşturma
  • Gerçek zamanlı WebSocket tabanlı sosyal mühendislik
  • Ele geçirilmiş iletişim platformları aracılığıyla güvenilir mesaj yayılımı

TCLBANKER, meşru WhatsApp ve Outlook oturumlarını kötüye kullanarak birçok geleneksel güvenlik önlemini etkili bir şekilde atlatıyor. Bu saldırı, modern bankacılık truva atlarının, son derece dayanıklı ve ölçeklenebilir siber suç operasyonları oluşturmak için gelişmiş gizlilik, otomasyon ve sosyal mühendislik tekniklerini nasıl giderek daha fazla birleştirdiğini gösteriyor.

trend

Yeni Sürüm E-posta Sistemi Arayüzü E-posta...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve acil işlem gerektiren e-postalar, özellikle hesap doğrulama, güvenlik güncellemeleri veya askıya alınmış hizmetlerle ilgiliyse, her zaman dikkatle ele alınmalıdır. Siber suçlular, alıcıları hassas bilgileri ifşa etmeye yönlendirmek için sıklıkla korku ve aciliyet duygusundan yararlanır. 'Posta Sistemi Arayüzünün Yeni Sürümü' e-posta kampanyası, kullanıcıları e-posta hesap...

ICloud Depolama Alanı Dolu E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Hesabınızın risk altında olduğunu veya acil işlem gerektirdiğini iddia eden beklenmedik e-postalar her zaman şüpheyle karşılanmalıdır. Siber suçlular, alıcıları kötü amaçlı bağlantılara tıklamaya, hassas bilgileri ifşa etmeye veya zararlı dosyaları indirmeye yönlendirmek için sıklıkla güvenilir markaları ve çevrimiçi hizmetleri taklit ederler. "iCloud Depolama Alanı Dolu" olarak adlandırılan...

En çok görüntülenen

Yükleniyor...