多许可证折扣报价
威胁数据库 移动恶意软件 TCLBANKER 银行木马

TCLBANKER 银行木马

通过Mezo移动恶意软件, 银行木马
翻译为:

网络安全研究人员发现了一种此前未被记录的巴西银行木马,名为TCLBANKER。这是一种高度复杂的恶意软件,旨在攻击59个银行、金融科技和加密货币平台。该攻击活动目前被追踪,代号为REF3076,据信是臭名昭著的Maverick恶意软件家族的一次重大演变,该家族此前与Water Saci威胁集群有关。

TCLBANKER 在早期攻击方法的基础上进行了扩展,集成了先进的反分析机制、隐蔽式有效载荷交付以及通过受损通信平台进行大规模传播的能力。

一条专为规避而构建的隐蔽感染链

攻击始于一个恶意 ZIP 压缩包,其中包含一个 MSI 安装程序,该程序滥用了名为 Logi AI Prompt Builder 的合法签名 Logitech 应用程序。通过 DLL 侧加载,该恶意软件强制受信任的应用程序加载一个名为“screen_retriever_plugin.dll”的恶意库,该库充当主加载器。

该加载器集成了一个功能强大的监视子系统,专门用于规避检测。它会持续扫描安全和分析环境,包括调试器、防病毒产品、反汇编器、沙箱和检测工具。只有当 DLL 由诸如“logiaipromptbuilder.exe”或“tclloader.exe”等已获批准的进程启动时,才会执行,其中“tclloader.exe”可能与内部测试有关。

为了进一步规避安全监控,该恶意软件会移除终端安全解决方案放置在“ntdll.dll”中的用户模式钩子,并禁用Windows事件跟踪(ETW)遥测功能。它还会基于反调试检查、虚拟化检测、磁盘信息和操作系统语言设置创建多个系统指纹。这些指纹会生成一个环境哈希值,用于解密嵌入的有效载荷。

该恶意软件会专门验证目标系统是否使用巴西葡萄牙语。任何调试或分析操作都会导致哈希值错误,从而阻止有效载荷成功解密并完全停止执行。

旨在实现对整个系统的控制的银行木马程序功能

反分析检查完成后,主银行木马程序即被部署。在确认系统属于巴西用户后,该恶意软件通过计划任务建立持久性,并使用包含系统信息的HTTP POST请求连接外部命令与控制服务器。

TCLBANKER 具备自我更新功能,并通过 UI 自动化技术从前台浏览器的地址栏中提取 URL,从而主动监控浏览器活动。该恶意软件针对多种常用浏览器,包括:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • 勇敢的
  • 歌剧
  • 维瓦尔第

当检测到受监控的银行或加密货币网站时,TCLBANKER 会打开一个到远程服务器的 WebSocket 连接并进入命令执行循环。这使得攻击者能够远程执行各种恶意活动,包括系统侦察、剪贴板篡改、键盘记录、屏幕截图、屏幕串流、远程鼠标和键盘控制、进程管理以及部署伪造凭证窃取覆盖层。

高级社交工程和凭证窃取

TCLBANKER 恶意软件严重依赖社会工程手段窃取敏感信息。它使用基于 Windows Presentation Foundation (WPF) 的全屏覆盖框架,能够显示极具迷惑性的钓鱼界面。这些覆盖层模仿合法的银行提示、虚假的 Windows 更新、进度条和语音钓鱼等待界面,旨在诱骗受害者泄露凭证。

值得注意的是,这些叠加层对屏幕截图工具是隐藏的,这使得检测和取证分析变得更加困难。

WhatsApp 和 Outlook 已沦为恶意软件分发工具

除了银行木马之外,该加载程序还会部署一个蠕虫组件,负责通过 WhatsApp Web 和 Microsoft Outlook 大规模传播感染。WhatsApp 模块会劫持已认证的浏览器会话,并使用开源的 WPPConnect 项目自动向受害者的联系人发送消息。为了提高攻击效率,该恶意软件会过滤掉群聊、广播列表和非巴西的电话号码。

Outlook 组件利用受害者已安装的 Microsoft Outlook 应用程序,充当网络钓鱼垃圾邮件机器人,直接从受害者的邮箱地址发送恶意邮件。由于这些邮件源自合法账户和可信基础设施,传统的垃圾邮件过滤器和基于信誉的安全系统难以检测到此类恶意活动。

据报道,该恶意软件可以利用被入侵的 WhatsApp 会话和 Outlook 帐户向多达 3000 个联系人发送垃圾邮件,从而大幅扩大攻击范围,同时利用受害者与其联系人之间现有的信任关系。

威胁形势不断扩大的迹象

研究人员认为 REF3076 仍处于早期运行阶段。调试日志路径、未完成的钓鱼基础设施和测试流程名称等证据表明,攻击者仍在不断完善和扩展此次攻击活动。

TCLBANKER 还重点指出巴西银行业恶意软件生态系统正在快速演变。一些曾经只与高度复杂的威胁行为者相关的技术,如今已出现在普通的网络犯罪活动中。这些技术包括:

  • 基于环境的有效载荷解密
  • 直接生成系统调用
  • 基于实时 WebSocket 的社会工程攻击
  • 通过被劫持的通信平台传播可信消息

TCLBANKER 通过滥用合法的 WhatsApp 和 Outlook 会话,有效地绕过了许多传统的安全防御措施。此次攻击活动表明,现代银行木马正日益融合先进的隐蔽、自动化和社会工程技术,以构建高度弹性和可扩展的网络犯罪行动。

趋势

Aur0ra勒索软件

勒索软件
在当今的数字环境中,保护设备免受恶意软件侵害已成为一项至关重要的要求。现代勒索软件的攻击手段不再局限于加密文件;许多勒索软件现在会将数据窃取、敲诈勒索和心理胁迫结合起来,以最大限度地造成损失,并迫使受害者支付巨额赎金。Aur0ra 勒索软件就是这种激进演变的典型例子,它是一种复杂的威胁,既能锁定重要数据,又能从受感染的系统中窃取敏感信息。 深入剖析Aur0ra的攻击策略 Aur0ra...

新版邮件系统界面邮件诈骗

网络钓鱼, 垃圾邮件
对于要求紧急处理的非预期电子邮件,务必保持警惕,尤其是在涉及账户验证、安全升级或服务暂停等情况时。网络犯罪分子经常利用人们的恐惧和紧迫感来操纵收件人,诱使其泄露敏感信息。“新版邮件系统界面”电子邮件活动就是这样一种网络钓鱼诈骗,旨在诱骗用户交出其电子邮件账户凭证。这些邮件与任何合法的电子邮件服务提供商、公司、组织或官方机构均无关联。 旨在制造恐慌的虚假升级通知 “新版邮件系统界面”骗局伪装成电子邮件服务提供商的系统自动通知。该邮件声称,收件人的邮箱会话需要升级到更新的邮件系统版本,以维护安全性和邮箱同步。 根据这封诈骗邮件,大约有 18 封邮件被服务器暂时扣留,等待更新完成。邮件告知收件人,升级完成后,这些待处理的邮件将在 30 分钟内送达。为了施加压力,邮件还警告说,如果在 24 小时内未能完成升级,账户可能会被暂停。...

ICloud 存储空间已满,电子邮件诈骗

网络钓鱼, 垃圾邮件
收到声称账户存在风险或需要紧急处理的电子邮件时,务必保持警惕。网络犯罪分子经常冒充可信品牌和在线服务,诱骗收件人点击恶意链接、泄露敏感信息或下载有害文件。所谓的“iCloud 存储空间已满”邮件属于网络钓鱼诈骗,与任何合法公司、组织或实体均无关联。 旨在制造恐慌的虚假存储警告 网络安全研究人员在分析了“iCloud 存储空间已满”的电子邮件后发现,这些邮件是伪装成云存储服务提供商警报的欺骗性通知。其主要目的是迫使收件人在未核实邮件真实性的情况下迅速采取行动。 这些邮件谎称收件人的云存储账户已达最大容量,无法再备份照片、联系人、视频和文档等重要数据。邮件警告称,由于存储空间不足,同步功能已暂停,并暗示如果不立即采取措施,重要文件可能很快会丢失或被删除。 为了让骗局看起来更具说服力,这些信息会鼓励用户升级到更大的存储方案,经常宣传“250...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
31,809
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
27,487
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

富趣网

流氓反间谍软件程序, Mac 恶意软件
21,123
Fuq.com 是一种广告软件类型的程序,用于宣传含有色情内容的网站。此潜在有害程序 (PUP) 的广告活动非常激进。他们通过在受感染的设备上显示相关广告、横幅或视频来强迫受害者查看推广页面的可疑成人内容。 Fuq.com 还会影响 Mac 设备,并可能因其推送的内容而导致各种网络安全问题 - 色情网站通常会将用户引导至其他可疑网站,触发有害软件下载,或诱骗用户安装可能有害的应用程序和工具。...
正在加载...