Trojan TCLBANKER rozprzestrzenia się za pośrednictwem kont komunikatorów ofiar

Badacze bezpieczeństwa z Elastic Security Labs odkryli nowego brazylijskiego trojana bankowego o nazwie TCLBANKER. Po zainfekowaniu maszyny przejmuje on konta WhatsApp i Outlook ofiary oraz wysyła wiadomości phishingowe do jej kontaktów.

Kampania jest oznaczona jako REF3076. Na podstawie wspólnej infrastruktury i wzorców kodu badacze powiązali TCLBANKER z wcześniej znaną rodziną złośliwego oprogramowania MAVERICK/SORVEPOTEL.

Trojan rozprzestrzenia się za pośrednictwem narzędzia do tworzenia promptów AI

Elastic Security Labs twierdzi, że złośliwe oprogramowanie jest dystrybuowane jako stroyjanizowany instalator Logi AI Prompt Builder – prawdziwej, podpisanej aplikacji Logitech. Instalator jest dostarczany w pliku ZIP i wykorzystuje technikę DLL sideloading do uruchomienia złośliwego pliku przypominającego wtyczkę Flutter.

Po załadowaniu trojan wdraża dwa ładunki chronione przez .NET Reactor. Jeden to moduł bankowy, a drugi to moduł robaka przeznaczony do samopropagacji.

Po załadowaniu trojan wdraża dwa ładunki chronione przez .NET Reactor. Jeden to moduł bankowy, a drugi to moduł robaka, który może się samodzielnie rozprzestrzeniać.

Kontrole anty-analityczne blokują badaczy

Na odcisk palca budowany przez loader TCLBANKER składają się trzy elementy.

1. Kontrole anty-debugowania.
2. Informacje o dysku i pamięci.
3. Ustawienia języka.

Odcisk palca generuje klucze deszyfrowania dla osadzonego ładunku. Jeśli coś wydaje się nieprawidłowe, na przykład podłączony debugger, środowisko sandbox lub mała ilość miejsca na dysku, deszyfrowanie produkuje bezużyteczne dane, a złośliwe oprogramowanie cicho się zatrzymuje.

Loader łata również funkcje telemetrii systemu Windows, aby oślepić narzędzia bezpieczeństwa. Tworzy bezpośrednie trampoliny syscall, aby uniknąć hooków w trybie użytkownika.

Watchdog stale monitoruje oprogramowanie analityczne, takie jak x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker i Frida. Jeśli którekolwiek z tych narzędzi zostanie wykryte, ładunek przestaje działać.

Moduł bankowy aktywuje się tylko na brazylijskich komputerach

Moduł bankowy aktywuje się na komputerach zlokalizowanych w Brazylii. Przeprowadzane są co najmniej dwa sprawdzenia geofencingu, które analizują kod regionu, strefę czasową, ustawienia regionalne systemu i układ klawiatury.

Złośliwe oprogramowanie odczytuje aktywny pasek URL przeglądarki za pomocą Windows UI Automation. Działa w wielu przeglądarkach, takich jak Chrome, Firefox, Edge, Brave, Opera i Vivaldi, i monitoruje aktywny adres URL co sekundę.

Złośliwe oprogramowanie następnie dopasowuje adres URL do listy 59 zaszyfrowanych adresów URL. Lista ta zawiera łącza do stron kryptowalutowych, bankowych i fintechowych w Brazylii.

Gdy ofiara odwiedza jedną z docelowych witryn, złośliwe oprogramowanie otwiera WebSocket do zdalnego serwera. Haker uzyskuje wtedy pełną zdalną kontrolę nad komputerem.

Po uzyskaniu dostępu haker używa nakładki, która umieszcza okno bez ramek na wierzchu na każdym monitorze. Nakładka nie jest widoczna na zrzutach ekranu, a ofiary nie mogą pokazać innym tego, co widzą.

Nakładka hakera ma trzy szablony:

• Formularz zbierania danych uwierzytelniających z fałszywym brazylijskim numerem telefonu.
• Fałszywy ekran postępu aktualizacji systemu Windows.
• „Ekran oczekiwania vishing", który zajmuje uwagę ofiar.

Złośliwe boty rozprzestrzeniają brazylijskiego trojana przez WhatsApp i Outlook

Drugi ładunek rozprzestrzenia TCLBANKER na nowe ofiary na dwa sposoby:

• Aplikacja internetowa WhatsApp.
• Skrzynki odbiorcze/konta Outlook.

Bot WhatsApp wyszukuje aktywne sesje WhatsApp Web w przeglądarkach opartych na Chromium, lokalizując katalogi lokalnych baz danych aplikacji.

Bot klonuje profil przeglądarki, a następnie uruchamia bezgłową instancję Chromium. „Bezgłowa przeglądarka to przeglądarka internetowa bez graficznego interfejsu użytkownika" – według Wikipedii. Następnie wstrzykuje JavaScript, aby ominąć wykrywanie botów i zbiera kontakty ofiary.

Na końcu bot wysyła wiadomości phishingowe zawierające instalator TCLBANKER do kontaktów ofiary.

Bot Outlook łączy się za pośrednictwem automatyzacji Component Object Model (COM). Automatyzacja COM pozwala jednemu programowi kontrolować inny program.

Bot pobiera adresy e-mail z folderu Kontakty i historii skrzynki odbiorczej, a następnie wysyła e-maile phishingowe przy użyciu konta ofiary.

E-maile mają temat „NFe disponível para impressão," co po angielsku oznacza „Electronic Invoice Available for Printing". Prowadzą do domeny phishingowej podszywającej się pod brazylijską platformę ERP.

Ponieważ e-maile są wysyłane z prawdziwych kont, są bardziej skłonne do ominięcia filtrów antyspamowych.

W zeszłym tygodniu Cryptopolitan informował, że badacze zidentyfikowali cztery trojany na Androida atakujące ponad 800 aplikacji kryptowalutowych, bankowych i mediów społecznościowych za pomocą fałszywych nakładek logowania.

W innym raporcie złośliwe oprogramowanie o nazwie StepDrainer opróżniało portfele w ponad 20 sieciach blockchain za pomocą fałszywych interfejsów połączeń portfela Web3.

Jeśli szukasz spokojniejszego punktu wejścia w kryptowaluty DeFi bez typowego szumu, zacznij od tego bezpłatnego wideo.