多許可證折扣報價
威脅數據庫 行動惡意軟體 TCLBANKER 銀行木馬

TCLBANKER 銀行木馬

行動惡意軟體, 銀行木馬Mezo
翻譯為:

網路安全研究人員發現了一種先前未被記錄的巴西銀行木馬,名為TCLBANKER。這是一種高度複雜的惡意軟體,旨在攻擊59個銀行、金融科技和加密貨幣平台。該攻擊活動目前被追踪,代號為REF3076,據信是臭名昭著的Maverick惡意軟體家族的重大演變,該家族先前與Water Saci威脅集群有關。

TCLBANKER 在早期攻擊方法的基礎上進行了擴展,整合了先進的反分析機制、隱蔽式有效載荷交付以及透過受損通訊平台進行大規模傳播的能力。

一條專為規避而建構的隱藏感染鏈

攻擊始於一個惡意 ZIP 壓縮包,其中包含一個 MSI 安裝程序,該程序濫用了名為 Logi AI Prompt Builder 的合法簽名 Logitech 應用程式。透過 DLL 側加載,該惡意軟體強制受信任的應用程式會載入一個名為「screen_retriever_plugin.dll」的惡意函式庫,該程式庫充當主載入器。

該載入器整合了一個功能強大的監視子系統,專門用於規避檢測。它會持續掃描安全性和分析環境,包括調試器、防毒產品、反彙編器、沙箱和檢測工具。只有當 DLL 由諸如“logiaipromptbuilder.exe”或“tclloader.exe”等已獲批准的進程啟動時,才會執行,其中“tclloader.exe”可能與內部測試有關。

為了進一步規避安全監控,此惡意軟體會移除終端安全解決方案放置在「ntdll.dll」中的使用者模式鉤子,並停用Windows事件追蹤(ETW)遙測功能。它還會基於反調試檢查、虛擬化檢測、磁碟資訊和作業系統語言設定創建多個系統指紋。這些指紋會產生一個環境雜湊值,用於解密嵌入的有效載荷。

該惡意軟體會專門驗證目標系統是否使用巴西葡萄牙語。任何調試或分析操作都會導致哈希值錯誤,從而阻止有效載荷成功解密並完全停止執行。

旨在實現對整個系統的控制的銀行木馬程式功能

反分析檢查完成後,主銀行木馬程式即被部署。在確認系統屬於巴西用戶後,該惡意軟體透過排程任務建立持久性,並使用包含系統資訊的HTTP POST請求連接外部命令與控制伺服器。

TCLBANKER 具備自我更新功能,並透過 UI 自動化技術從前台瀏覽器的網址列中提取 URL,從而主動監控瀏覽器活動。該惡意軟體針對多種常用瀏覽器,包括:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • 勇敢的
  • 歌劇
  • 韋瓦第

當偵測到受監控的銀行或加密貨幣網站時,TCLBANKER 會開啟一個到遠端伺服器的 WebSocket 連線並進入命令執行循環。這使得攻擊者能夠遠端執行各種惡意活動,包括系統偵察、剪貼簿篡改、鍵盤記錄、螢幕截圖、螢幕流、遠端滑鼠和鍵盤控制、進程管理以及部署偽造憑證竊取覆蓋層。

高級社交工程和憑證竊取

TCLBANKER 惡意軟體嚴重依賴社會工程手段竊取敏感資訊。它使用基於 Windows Presentation Foundation (WPF) 的全螢幕覆蓋框架,能夠顯示極具迷惑性的釣魚介面。這些覆蓋層模仿合法的銀行提示、虛假的 Windows 更新、進度條和語音釣魚等待介面,旨在誘騙受害者洩露憑證。

值得注意的是,這些疊加層對螢幕截圖工具是隱藏的,這使得偵測和取證分析變得更加困難。

WhatsApp 和 Outlook 已淪為惡意軟體分發工具

除了銀行木馬之外,該載入程式還會部署一個蠕蟲元件,負責透過 WhatsApp Web 和 Microsoft Outlook 大規模傳播感染。 WhatsApp 模組會劫持已認證的瀏覽器會話,並使用開源的 WPPConnect 專案自動向受害者的聯絡人發送訊息。為了提高攻擊效率,該惡意軟體會過濾掉群組聊天、廣播清單和非巴西的電話號碼。

Outlook 元件利用受害者已安裝的 Microsoft Outlook 應用程序,充當網路釣魚垃圾郵件機器人,直接從受害者的郵箱地址發送惡意郵件。由於這些郵件源自合法帳戶和可信任基礎設施,傳統的垃圾郵件過濾器和基於信譽的安全系統難以偵測到此類惡意活動。

據報道,該惡意軟體可利用被入侵的 WhatsApp 會話和 Outlook 帳戶向多達 3000 個聯絡人發送垃圾郵件,從而大幅擴大攻擊範圍,同時利用受害者與其聯絡人之間現有的信任關係。

威脅情勢不斷擴大的跡象

研究人員認為 REF3076 仍處於早期運作階段。調試日誌路徑、未完成的釣魚基礎設施和測試流程名稱等證據表明,攻擊者仍在不斷改進和擴展攻擊活動。

TCLBANKER 也重點指出巴西銀行業惡意軟體生態系統正在快速演變。一些曾經只與高度複雜的威脅行為者相關的技術,如今已出現在普通的網路犯罪活動中。這些技術包括:

  • 基於環境的有效載荷解密
  • 直接產生系統調用
  • 基於即時 WebSocket 的社會工程攻擊
  • 透過被劫持的通訊平台傳播可信賴消息

TCLBANKER 透過濫用合法的 WhatsApp 和 Outlook 會話,有效地繞過了許多傳統的安全防禦措施。此次攻擊活動表明,現代銀行木馬正日益融合先進的隱藏、自動化和社會工程技術,以建立高度彈性和可擴展的網路犯罪行動。

熱門

Aur0ra勒索軟體

勒索軟體
在當今的數位環境中,保護設備免受惡意軟體侵害已成為一項至關重要的要求。現代勒索軟體的攻擊手段不再局限於加密檔案;許多勒索軟體現在會將資料竊取、敲詐勒索和心理脅迫結合起來,以最大限度地造成損失,並迫使受害者支付巨額贖金。 Aur0ra 勒索軟體就是這種激進演變的典型例子,它是一種複雜的威脅,既能鎖定重要數據,又能從受感染的系統中竊取敏感資訊。 深入剖析Aur0ra的攻擊策略 Aur0ra...

新版郵件系統介面郵件詐騙

網路釣魚, 垃圾郵件
對於要求緊急處理的非預期電子郵件,請務必保持警惕,尤其是在涉及帳戶驗證、安全升級或服務暫停等情況時。網路犯罪分子經常利用人們的恐懼和緊迫感來操縱收件人,誘使其洩露敏感資訊。 「新版郵件系統介面」電子郵件活動就是這樣一種網路釣魚詐騙,旨在誘騙用戶交出其電子郵件帳戶憑證。這些郵件與任何合法的電子郵件服務提供者、公司、組織或官方機構均無關聯。 旨在製造恐慌的虛假升級通知 「新版郵件系統介面」詐騙偽裝成電子郵件服務提供者的系統自動通知。該郵件聲稱,收件者的郵箱會話需要升級到更新的郵件系統版本,以維護安全性和郵箱同步。 根據這封詐騙郵件,大約有 18 封郵件被伺服器暫時扣留,等待更新完成。郵件告知收件人,升級完成後,這些待處理的郵件將在 30 分鐘內送達。為了施加壓力,郵件還警告說,如果在 24 小時內未能完成升級,帳戶可能會被暫停。...

ICloud 儲存空間已滿,電子郵件詐騙

網路釣魚, 垃圾郵件
收到聲稱帳戶有風險或需要緊急處理的電子郵件時,請務必保持警惕。網路犯罪分子經常冒充可信任品牌和線上服務,誘騙收件者點擊惡意連結、洩漏敏感資訊或下載有害檔案。所謂的「iCloud 儲存空間已滿」郵件屬於網路釣魚詐騙,與任何合法公司、組織或實體均無關聯。 旨在製造恐慌的虛假儲存警告 網路安全研究人員在分析了「iCloud 儲存空間已滿」的電子郵件後發現,這些郵件是偽裝成雲端儲存服務供應商警報的欺騙性通知。其主要目的是迫使收件者在未核實郵件真實性的情況下迅速採取行動。 這些郵件謊稱收件者的雲端儲存帳戶已達最大容量,無法再備份照片、聯絡人、影片和文件等重要資料。郵件警告稱,由於儲存空間不足,同步功能已暫停,並暗示如果不立即採取措施,重要檔案可能很快就會遺失或被刪除。 為了讓詐騙看起來更具說服力,這些資訊會鼓勵用戶升級到更大的儲存方案,經常宣傳「250...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
31,809
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
27,487
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...

富趣網

流氓反間諜軟體程式, Mac 惡意軟體
21,123
Fuq.com 是一種廣告軟件類型的程序,用於宣傳含有色情內容的網站。此潛在有害程序 (PUP) 的廣告活動非常激進。他們通過在受感染的設備上顯示相關廣告、橫幅或視頻來強迫受害者查看推廣頁面的可疑成人內容。 Fuq.com 還會影響 Mac 設備,並可能因其推送的內容而導致各種網絡安全問題 - 色情網站通常會將用戶引導至其他可疑網站,觸發有害軟件下載,或誘騙用戶安裝可能有害的應用程序和工具。...
加載中...