TCLBANKER-trojan levib ohvrite enda sõnumite rakenduste kaudu

Elastic Security Labsi turvauurijad on avastanud uue Brasiilia panga trojaninimega TCLBANKER. Kui see nakatab arvuti, võtab see üle ohvri WhatsAppi ja Outlooki kontod ning saadab nende kontaktidele veebipõhiseid petturlikke sõnumeid.

Kampaania on märgistatud koodiga REF3076. Ühiste infrastruktuuri- ja koodimustrite põhjal on uurijad seotud TCLBANKERi varem teadaoleva pahavaraperekonnaga MAVERICK/SORVEPOTEL.

Trojan levib AI-päringute loomise rakenduse kaudu

Elastic Security Labsi andmetel on pahavara trojaniseeritud paigaldusprogrammina Logi AI Prompt Builderile – tegelikult allkirjastatud Logitechi rakendus. Paigaldusprogramm on ZIP-failis ja kasutab DLL sideloadingut, et käivitada pahatahtlik fail, mis näeb välja nagu Flutteri plugin.

Kord käivitatud, käivitab trojan kaks .NET Reactor’iga kaitstud koormust. Üks on pangandusmoodul ja teine on iseleviv ussimoodul.

Pärast laadimist käivitab trojan kaks .NET Reactor’iga kaitstud koormust. Üks on pangandusmoodul ja teine on ussimoodul, mis suudab ise levida.

Analüüsivastased kontrollid takistavad uurijaid

TCLBANKERi laadur loob identifitseerimisprofiili, mille moodustavad kolm osa.

1. Debugimise vastased kontrollid.
2. Ketta ja mälu teave.
3. Keeleseaded.

Identifitseerimisprofiil genereerib dekrüpteerimise võtmed manustatud koormusele. Kui midagi ei ole korras – näiteks on ühendatud debugija, töötab süsteem lihtsas keskkonnas (sandbox) või on kettal vähe vaba ruumi – siis dekrüpteerimine toodab määrdunud andmeid ja pahavara peatub vaigistatult.

Laadur muudab ka Windowsi telemetria funktsioone, et teha turvateostele nähtamatuks. See loob otsesed syscall trampoliinid, et vältida kasutajataseme hook-e.

Jälgija jälgib pidevalt analüüsiprogramme, nagu x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker ja Frida. Kui üks neist leiab, siis koormus lõpetab töö.

Pangandusmoodul aktiveerub ainult Brasiilias asuvates arvutites

Pangandusmoodul aktiveerub Brasiilias asuvates arvutites. Selleks tehakse vähemalt kaks geofence’i kontrolli, mis uurivad piirkonna koodi, ajatsooni, süsteemi keele ja klaviatuuri paigutust.

Pahavara loeb aktiivse brauseri URL-i riba kasutades Windowsi UI Automationi. See toimib paljude brauseritega, sealhulgas Chrome’i, Firefox’i, Edge’i, Brave’i, Opera ja Vivaldi, ning jälgib aktiivset URL-i/URL-e iga sekundi tagant.

Pahavara võrdleb URL-i 59 krüpteeritud URL-iga sisaldava loendiga. Selles loendis on linkid Brasiilia krüptovaluutale, pankadele ja finantstehnoloogia veebisaitidele.

Kui ohver külastab ühte sihtveebisaitidest, avab pahavara WebSocketi kaugserveriga. Seejärel saab kurjategija täieliku kaugjuhtimise ohvri arvuti üle.

Kui juurdepääs on antud, kasutab kurjategija ülekatet, mis paigutab igale ekraanile ääretu, alati ülalpool oleva akna. Ülekate ei ole nähtav ekraanipiltides ja ohver ei saa teistega jagada seda, mida ta näeb.

Kurjategija ülekattel on kolm malli:

• Autentimiste andmete kogumise vorm fiktiivse Brasiilia telefoninumbriga.
• Fiktiivne Windowsi uuenduse edenemise aken.
• „Vishingi ootusaeg“ – ekraan, mis hoiab ohvri hõivatuna.

Pahatahtlikud botid levitavad brasiilia trojanit WhatsAppis ja Outlookis

Teine koormus levitab TCLBANKERit uutele ohvritele kahe viisi:

• WhatsAppi veebirakenduse kaudu.
• Outlooki postkastide/kontode kaudu.

WhatsAppi bot otsib Chromiumi brauserites aktiivseid WhatsApp Webi seansse, leides rakenduse kohalikud andmebaasi kataloogid.

Bot kloonib brauseriprofiili ja käivitab peadeta Chromiumi instantsi. „Peadeta brauser on veebibrauser ilma graafilise kasutajaliidesta“, ütleb Wikipedia. Seejärel süstitakse JavaScripti, et ületada botide tuvastamine ja koguda ohvri kontaktid.

Lõpus saadab bot ohvri kontaktidele phishing-sõnumeid, mis sisaldavad TCLBANKERi paigaldusprogrammi.

Outlooki bot ühendub Component Object Modeli (COM) automaatika kaudu. COM automaatika võimaldab ühel programmil teise programmeerimist kontrollida.

Bot võtab e-posti aadressid Kontaktide kaustast ja postkasti ajaloost ning saadab phishing-e-kirju ohvri kontolt.

E-kirjade teema on „NFe disponível para impressão“, mis tähendab inglise keeles „Elektrooniline arve on trükkimiseks saadaval“. Link viitab pahatahtlikule domeenile, mis imiteerib brasiilia ERP-platvormi.

Kuna e-kirjad saadetakse tegelikest kontodest, on tõenäolisem, et nad lähevad läbi spämmifiltrite.

Mingi nädala tagasi teatas Cryptopolitan, et uurijad olid tuvastanud neli Androidi trojanit, mis sihtisid üle 800 krüptovaluuta-, pangandus- ja sotsiaalmeedia rakendust fake logini ülekattega.

Teises aruandes on pahavara nimega StepDrainer tühihutanud rahakotte üle 20 erineva blokiahela võrgu, kasutades valesti kujundatud Web3 rahakoti ühendusliideseid.

Kui soovite DeFi krüptovaluutasse siseneda rahulikuma lähenemisega ilma tavapärase hype’ita, alustage selle tasuta videoga.