Банківський троян TCLBANKER
Дослідники з кібербезпеки виявили раніше недокументований бразильський банківський троян, відомий як TCLBANKER, – високотехнологічний штам шкідливого програмного забезпечення, розроблений для атаки на 59 банківських, фінтех- та криптовалютних платформ. Кампанія наразі відстежується під назвою REF3076 і вважається, що вона являє собою значну еволюцію сумнозвісного сімейства шкідливих програм Maverick, яке раніше пов'язували з кластером загроз Water Saci.
TCLBANKER розширює попередні методи атаки, інтегруючи передові механізми антианалізу, приховану доставку корисного навантаження та можливості широкомасштабного поширення через скомпрометовані комунікаційні платформи.
Зміст
Прихований ланцюг зараження, створений для ухилення
Атака починається зі шкідливого ZIP-архіву, що містить інсталятор MSI, який зловживає легітимно підписаною програмою Logitech під назвою Logi AI Prompt Builder. За допомогою стороннього завантаження DLL шкідливе програмне забезпечення змушує довірену програму завантажувати шкідливу бібліотеку під назвою «screen_retriever_plugin.dll», яка виконує роль основного завантажувача.
Цей завантажувач містить розширену підсистему сторожового таймера, спеціально розроблену для уникнення виявлення. Він постійно сканує середовища безпеки та аналізу, включаючи налагоджувачі, антивірусні продукти, дизасемблер, пісочниці та інструменти інструментації. Виконання продовжується лише тоді, коли DLL запускається схваленими процесами, такими як «logiaipromptbuilder.exe» або «tclloader.exe», останній, ймовірно, пов'язаний з внутрішнім тестуванням.
Щоб ще більше уникнути моніторингу безпеки, шкідливе програмне забезпечення видаляє перехоплювачі режиму користувача, розміщені в 'ntdll.dll' рішеннями захисту кінцевих точок, і вимикає телеметрію відстеження подій для Windows (ETW). Воно також створює кілька системних відбитків на основі перевірок антиналагодження, виявлення віртуалізації, інформації про диск та мовних налаштувань операційної системи. Ці відбитки генерують хеш середовища, який використовується для розшифрування вбудованого корисного навантаження.
Шкідливе програмне забезпечення спеціально перевіряє, чи використовує цільова система бразильську португальську мову. Будь-які ознаки налагодження або аналізу призводять до неправильного хеш-значення, що запобігає успішному розшифруванню корисного навантаження та повністю зупиняє виконання.
Можливості банківського трояна, розроблені для повного контролю над системою
Після завершення антианалізу розгортається основний банківський троян. Підтвердивши, що система належить бразильському користувачеві, шкідливе програмне забезпечення встановлює стійкість через заплановані завдання та зв’язується із зовнішнім командно-контрольним сервером за допомогою HTTP POST-запитів, що містять системну інформацію.
TCLBANKER включає функцію самооновлення та активно відстежує активність браузера, витягуючи URL-адреси з адресного рядка браузера за допомогою методів автоматизації інтерфейсу користувача. Шкідливе програмне забезпечення націлене на широко використовувані браузери, зокрема:
- Google Chrome
- Мозіла Фаєрфокс
- Microsoft Edge
- Хоробрий
- Опера
- Вівальді
Коли виявляється веб-сайт банку або криптовалюти, що знаходиться під моніторингом, TCLBANKER відкриває WebSocket-з’єднання з віддаленим сервером і входить у цикл виконання команд. Це дозволяє зловмисникам дистанційно виконувати широкий спектр шкідливих дій, включаючи розвідку системи, маніпулювання буфером обміну, кейлоггеринг, зйомку екрана, потокову передачу екрану, віддалене керування мишею та клавіатурою, управління процесами та розгортання підроблених оверлеїв для збору облікових даних.
Розширена соціальна інженерія та крадіжка облікових даних
TCLBANKER значною мірою покладається на соціальну інженерію для крадіжки конфіденційної інформації. Шкідливе програмне забезпечення використовує повноекранний фреймворк на основі Windows Presentation Foundation (WPF), здатний відображати дуже переконливі фішингові інтерфейси. Ці накладання імітують справжні банківські запити, підроблені оновлення Windows, індикатори виконання та екрани очікування з голосовим фішингом, призначені для маніпулювання жертвами та отримання облікових даних.
Примітно, що накладання приховані від утиліт для захоплення екрана, що значно ускладнює виявлення та судово-медичний аналіз.
WhatsApp та Outlook перетворилися на інструменти розповсюдження шкідливого програмного забезпечення
Поряд із банківським трояном, завантажувач розгортає компонент-черв'як, відповідальний за масштабне поширення інфекції через WhatsApp Web та Microsoft Outlook. Модуль WhatsApp перехоплює автентифіковані сеанси браузера та використовує проект WPPConnect з відкритим кодом для автоматизації доставки повідомлень контактам жертв. Щоб підвищити ефективність таргетування, шкідливе програмне забезпечення фільтрує групові чати, списки розсилки та небразильські номери телефонів.
Компонент Outlook функціонує як фішинговий спам-бот, зловживаючи встановленою на жертві програмою Microsoft Outlook для розповсюдження шкідливих електронних листів безпосередньо з її власної адреси. Оскільки ці повідомлення надходять із легітимних облікових записів та надійної інфраструктури, традиційним спам-фільтрам та системам безпеки, що базуються на репутації, важко виявити шкідливу активність.
Повідомляється, що шкідливе програмне забезпечення може розсилати спам до 3000 контактів, використовуючи скомпрометовані сеанси WhatsApp та облікові записи Outlook, що значно збільшує охоплення кампанії, водночас використовуючи існуючі довірчі відносини між жертвами та їхніми контактами.
Ознаки розширення ландшафту загроз
Дослідники вважають, що REF3076 все ще перебуває на ранніх стадіях функціонування. Такі докази, як шляхи ведення журналу налагодження, незавершена фішингова інфраструктура та назви тестових процесів, свідчать про те, що оператори продовжують удосконалювати та розширювати кампанію.
TCLBANKER також наголошує на швидкій еволюції екосистеми шкідливого програмного забезпечення для банківських операцій у Бразилії. Методи, які колись були пов'язані лише з дуже складними зловмисниками, тепер з'являються в операціях з кіберзлочинності, пов'язаних з товарами. Ці можливості включають:
- Розшифрування корисного навантаження на основі середовища
- Генерація прямих системних викликів
- Соціальна інженерія в режимі реального часу на основі WebSocket
- Поширення довірених повідомлень через викрадені комунікаційні платформи
Зловживаючи легітимними сеансами WhatsApp та Outlook, TCLBANKER ефективно обходить багато звичайних засобів захисту. Кампанія демонструє, як сучасні банківські трояни все частіше поєднують передові методи приховування, автоматизації та соціальної інженерії для створення високостійких та масштабованих кіберзлочинних операцій.
