Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại di động Trojan ngân hàng TCLBANKER

Trojan ngân hàng TCLBANKER

Đến năm Mezo năm Phần mềm độc hại di động, Trojan ngân hàng
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại mã độc Trojan ngân hàng của Brazil chưa từng được ghi nhận trước đây, có tên là TCLBANKER, một biến thể phần mềm độc hại tiên tiến được thiết kế để nhắm mục tiêu vào 59 nền tảng ngân hàng, công nghệ tài chính và tiền điện tử. Chiến dịch này hiện đang được theo dõi dưới tên REF3076 và được cho là đại diện cho một bước phát triển đáng kể của dòng phần mềm độc hại Maverick khét tiếng, trước đây có liên quan đến cụm mối đe dọa Water Saci.

TCLBANKER mở rộng các phương pháp tấn công trước đó bằng cách tích hợp các cơ chế chống phân tích tiên tiến, khả năng truyền tải dữ liệu một cách bí mật và khả năng lan truyền quy mô lớn thông qua các nền tảng liên lạc bị xâm nhập.

Một chuỗi lây nhiễm lén lút được thiết kế để né tránh.

Cuộc tấn công bắt đầu bằng một tập tin ZIP độc hại chứa trình cài đặt MSI, lợi dụng ứng dụng Logitech được ký số hợp lệ có tên là Logi AI Prompt Builder. Thông qua việc tải DLL trái phép, phần mềm độc hại buộc ứng dụng đáng tin cậy phải tải một thư viện độc hại có tên 'screen_retriever_plugin.dll', hoạt động như trình tải chính.

Trình tải này tích hợp một hệ thống giám sát mở rộng được thiết kế đặc biệt để tránh bị phát hiện. Nó liên tục quét các môi trường bảo mật và phân tích, bao gồm trình gỡ lỗi, phần mềm chống virus, trình dịch ngược mã, hộp cát và công cụ đo lường. Quá trình thực thi chỉ diễn ra khi DLL được khởi chạy bởi các tiến trình được phê duyệt như 'logiaipromptbuilder.exe' hoặc 'tclloader.exe', tiến trình sau có thể liên quan đến việc thử nghiệm nội bộ.

Để tránh bị giám sát an ninh hơn nữa, phần mềm độc hại này loại bỏ các hook chế độ người dùng được đặt trong 'ntdll.dll' bởi các giải pháp bảo vệ điểm cuối và vô hiệu hóa tính năng thu thập dữ liệu từ xa Event Tracing for Windows (ETW). Nó cũng tạo ra nhiều dấu vân tay hệ thống dựa trên các kiểm tra chống gỡ lỗi, phát hiện ảo hóa, thông tin ổ đĩa và cài đặt ngôn ngữ hệ điều hành. Những dấu vân tay này tạo ra một mã băm môi trường được sử dụng để giải mã tải trọng được nhúng.

Phần mềm độc hại này đặc biệt kiểm tra xem hệ thống mục tiêu có sử dụng tiếng Bồ Đào Nha Brazil hay không. Bất kỳ dấu hiệu gỡ lỗi hoặc phân tích nào đều dẫn đến giá trị băm không chính xác, ngăn cản việc giải mã tải trọng thành công và làm dừng hoàn toàn quá trình thực thi.

Khả năng của phần mềm độc hại ngân hàng được thiết kế để kiểm soát toàn bộ hệ thống.

Sau khi hoàn tất các bước kiểm tra chống phân tích, phần mềm độc hại ngân hàng chính sẽ được triển khai. Sau khi xác nhận hệ thống thuộc về người dùng Brazil, phần mềm độc hại thiết lập khả năng duy trì hoạt động thông qua các tác vụ theo lịch trình và liên hệ với máy chủ điều khiển từ xa bên ngoài bằng các yêu cầu HTTP POST chứa thông tin hệ thống.

TCLBANKER bao gồm chức năng tự cập nhật và chủ động giám sát hoạt động trình duyệt bằng cách trích xuất URL từ thanh địa chỉ của trình duyệt đang chạy thông qua các kỹ thuật tự động hóa giao diện người dùng. Phần mềm độc hại này nhắm mục tiêu vào các trình duyệt được sử dụng rộng rãi, bao gồm:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Can đảm
  • Opera
  • Vivaldi

Khi phát hiện một trang web ngân hàng hoặc tiền điện tử bị theo dõi, TCLBANKER sẽ mở kết nối WebSocket đến máy chủ từ xa và đi vào vòng lặp thực thi lệnh. Điều này cho phép kẻ tấn công thực hiện từ xa nhiều hoạt động độc hại, bao gồm do thám hệ thống, thao tác clipboard, ghi lại thao tác bàn phím, chụp ảnh màn hình, truyền phát màn hình, điều khiển chuột và bàn phím từ xa, quản lý tiến trình và triển khai các lớp phủ thu thập thông tin đăng nhập giả mạo.

Tấn công phi kỹ thuật cao cấp và đánh cắp thông tin đăng nhập

TCLBANKER dựa rất nhiều vào kỹ thuật thao túng tâm lý để đánh cắp thông tin nhạy cảm. Phần mềm độc hại này sử dụng khung phủ toàn màn hình dựa trên Windows Presentation Foundation (WPF) có khả năng hiển thị các giao diện lừa đảo rất thuyết phục. Các lớp phủ này bắt chước các lời nhắc giao dịch ngân hàng hợp pháp, các bản cập nhật Windows giả mạo, thanh tiến trình và màn hình chờ lừa đảo bằng giọng nói được thiết kế để thao túng nạn nhân tiết lộ thông tin đăng nhập.

Đáng chú ý, các lớp phủ này bị ẩn khỏi các tiện ích chụp màn hình, khiến việc phát hiện và phân tích pháp y trở nên khó khăn hơn đáng kể.

WhatsApp và Outlook đã trở thành công cụ phát tán phần mềm độc hại.

Cùng với mã độc Trojan ngân hàng, phần mềm độc hại này còn triển khai một thành phần sâu máy tính chịu trách nhiệm lây lan dịch hại trên diện rộng thông qua cả WhatsApp Web và Microsoft Outlook. Mô-đun WhatsApp chiếm quyền kiểm soát các phiên trình duyệt đã được xác thực và sử dụng dự án mã nguồn mở WPPConnect để tự động gửi tin nhắn đến danh bạ của nạn nhân. Để nâng cao hiệu quả nhắm mục tiêu, phần mềm độc hại lọc bỏ các cuộc trò chuyện nhóm, danh sách phát sóng và các số điện thoại không phải của Brazil.

Thành phần Outlook hoạt động như một phần mềm gửi thư rác lừa đảo bằng cách lợi dụng ứng dụng Microsoft Outlook đã được cài đặt trên máy tính của nạn nhân để phát tán các email độc hại trực tiếp từ địa chỉ email của chính nạn nhân. Vì những tin nhắn này xuất phát từ các tài khoản hợp pháp và cơ sở hạ tầng đáng tin cậy, nên các bộ lọc thư rác truyền thống và hệ thống bảo mật dựa trên uy tín khó có thể phát hiện hoạt động độc hại này.

Theo báo cáo, phần mềm độc hại này có thể gửi thư rác đến tối đa 3.000 người liên hệ bằng cách sử dụng các phiên WhatsApp và tài khoản Outlook bị xâm nhập, làm tăng đáng kể phạm vi tiếp cận của chiến dịch đồng thời lợi dụng mối quan hệ tin cậy hiện có giữa các nạn nhân và người liên hệ của họ.

Dấu hiệu của một bối cảnh mối đe dọa đang mở rộng

Các nhà nghiên cứu tin rằng REF3076 vẫn đang trong giai đoạn hoạt động ban đầu. Bằng chứng như đường dẫn nhật ký gỡ lỗi, cơ sở hạ tầng lừa đảo chưa hoàn thiện và tên quy trình thử nghiệm cho thấy những kẻ điều hành đang tiếp tục tinh chỉnh và mở rộng chiến dịch này.

Báo cáo TCLBANKER cũng nhấn mạnh sự phát triển nhanh chóng đang diễn ra trong hệ sinh thái phần mềm độc hại ngân hàng tại Brazil. Các kỹ thuật từng chỉ được sử dụng bởi các tác nhân đe dọa tinh vi nay đang xuất hiện trong các hoạt động tội phạm mạng thông thường. Những khả năng này bao gồm:

  • Giải mã dữ liệu dựa trên môi trường
  • Tạo lệnh gọi hệ thống trực tiếp
  • Tấn công phi kỹ thuật (Social Engineering) dựa trên WebSocket thời gian thực
  • Lan truyền thông điệp đáng tin cậy thông qua các nền tảng truyền thông bị chiếm đoạt.

Bằng cách lợi dụng các phiên đăng nhập WhatsApp và Outlook hợp pháp, TCLBANKER đã vượt qua hiệu quả nhiều biện pháp phòng vệ an ninh thông thường. Chiến dịch này cho thấy các phần mềm độc hại ngân hàng hiện đại ngày càng kết hợp các kỹ thuật tàng hình, tự động hóa và kỹ thuật xã hội tiên tiến để tạo ra các hoạt động tội phạm mạng có khả năng phục hồi và mở rộng cao.

xu hướng

Phiên bản mới của giao diện hệ thống thư điện tử -...

Lừa đảo, Thư rác
Những email bất ngờ yêu cầu hành động khẩn cấp luôn cần được xử lý thận trọng, đặc biệt là khi chúng liên quan đến xác minh tài khoản, nâng cấp bảo mật hoặc dịch vụ bị tạm ngừng. Tội phạm mạng thường lợi dụng nỗi sợ hãi và sự khẩn cấp để thao túng người nhận tiết lộ thông tin nhạy cảm. Chiến dịch email "Phiên bản mới của giao diện hệ thống thư điện tử" là một ví dụ về lừa đảo phishing được...

Lừa đảo qua email về việc đầy bộ nhớ iCloud

Lừa đảo, Thư rác
Những email bất ngờ thông báo tài khoản đang gặp rủi ro hoặc cần hành động khẩn cấp luôn cần được xử lý thận trọng. Tội phạm mạng thường giả mạo các thương hiệu và dịch vụ trực tuyến đáng tin cậy để lừa người nhận nhấp vào các liên kết độc hại, tiết lộ thông tin nhạy cảm hoặc tải xuống các tệp tin nguy hiểm. Các email kiểu "Bộ nhớ iCloud đầy" là một phần của chiêu trò lừa đảo phishing và không...

Xem nhiều nhất

Đang tải...