يتسلل حصان طروادة TCLBANKER عبر حسابات المراسلة الخاصة بالضحايا أنفسهم
اكتشف باحثو الأمن في Elastic Security Labs حصان طروادة مصرفي برازيلي جديد يُعرف بـ TCLBANKER. عند إصابة جهاز ما، يستولي على حسابَي WhatsApp وOutlook للضحية ويرسل رسائل الاحتيال الإلكتروني إلى جهات اتصالها.
تُعرف هذه الحملة بـ REF3076. واستناداً إلى البنية التحتية المشتركة وأنماط الكود، ربط الباحثون TCLBANKER بعائلة البرمجيات الخبيثة المعروفة سابقاً MAVERICK/SORVEPOTEL.
ينتشر حصان طروادة عبر منشئ موجهات الذكاء الاصطناعي
تقول Elastic Security Labs إن البرمجية الخبيثة تأتي في صورة مثبّت مُخترَق لتطبيق Logi AI Prompt Builder، وهو تطبيق Logitech حقيقي وموقّع رسمياً. يأتي المثبّت في ملف ZIP ويستخدم تحميل DLL الجانبي لتشغيل ملف خبيث يبدو كإضافة Flutter.
بمجرد تحميله، ينشر حصان طروادة حِمْلَين محميَّين بـ .NET Reactor. أحدهما وحدة مصرفية والآخر وحدة دودة مبنية للانتشار الذاتي.
بعد التحميل، ينشر حصان طروادة حِمْلَين محميَّين بـ .NET Reactor. أحدهما وحدة مصرفية، والآخر وحدة دودة قادرة على الانتشار بنفسها.
محتويات دليل الملفات تُظهر الملفات الخبيثة. المصدر: Elastic Security Labs.
فحوصات مكافحة التحليل تحجب الباحثين
ثمة ثلاثة أجزاء تُشكّل بصمة التعريف التي يبنيها محمّل TCLBANKER.
- فحوصات مكافحة التصحيح.
- معلومات القرص والذاكرة.
- إعدادات اللغة.
تُولّد بصمة التعريف مفاتيح فك التشفير للحِمل المضمَّن. إذا بدا شيء ما خاطئاً، كاتصال مُصحِّح أو بيئة اختبار معزولة أو قلة مساحة القرص، فإن فك التشفير ينتج بيانات غير صالحة وتتوقف البرمجية الخبيثة بصمت.
يقوم المحمّل أيضاً بتصحيح وظائف قياس بيانات Windows لتعمية أدوات الأمان. ويُنشئ مسارات استدعاء نظام مباشرة لتفادي خطافات وضع المستخدم.
يعمل كلبٌ حارس باستمرار على البحث عن برامج التحليل مثل x64dbg وGhidra وdnSpy وIDA Pro وProcess Hacker وFrida. وإذا عُثر على أي من هذه الأدوات، توقف الحِمل عن العمل.
الوحدة المصرفية تعمل فقط على الحواسيب البرازيلية
تعمل الوحدة المصرفية على الحواسيب الموجودة في البرازيل. ثمة فحصان جغرافيان على الأقل يتحققان من رمز المنطقة والمنطقة الزمنية والإعدادات المحلية للنظام وتخطيط لوحة المفاتيح.
تقرأ البرمجية الخبيثة شريط عنوان URL للمتصفح النشط باستخدام Windows UI Automation. وهي تعمل عبر متصفحات عديدة كـ Chrome وFirefox وEdge وBrave وOpera وVivaldi، وترصد عناوين URL النشطة كل ثانية.
تقوم البرمجية الخبيثة بمطابقة عنوان URL مع قائمة تضم 59 عنوان URL مشفراً. تحتوي هذه القائمة على روابط لمواقع الكريبتو والبنوك والتكنولوجيا المالية في البرازيل.
عندما تزور الضحية أحد المواقع المستهدفة، تفتح البرمجية الخبيثة اتصال WebSocket بخادم بعيد. ثم يحصل المخترق على التحكم الكامل عن بُعد في الحاسوب.
بعد منح الوصول، يستخدم المخترق طبقة تغطية تضع نافذة عريضة بلا حدود في أعلى كل شاشة. لا تظهر هذه التغطية في لقطات الشاشة، ولا يستطيع الضحايا مشاركة ما يرونه مع الآخرين.
تحتوي طبقة تغطية المخترق على ثلاثة قوالب:
- نموذج لحصاد بيانات الاعتماد مع رقم هاتف برازيلي مزيف.
- شاشة تقدم تحديث Windows المزيفة.
- "شاشة انتظار التصيد الصوتي" التي تُشغل الضحايا.
روبوتات خبيثة تنشر حصان طروادة البرازيلي على WhatsApp وOutlook
ينشر الحِمل الثاني TCLBANKER إلى ضحايا جدد عبر طريقتَين:
- تطبيق WhatsApp على الويب.
- صناديق البريد الوارد/حسابات Outlook.
يبحث روبوت WhatsApp عن جلسات WhatsApp Web النشطة في متصفحات Chromium عبر تحديد مجلدات قاعدة بيانات التطبيق المحلية.
يستنسخ الروبوت ملف تعريف المتصفح، ثم يُشغّل نسخة Chromium بلا واجهة رسومية. وبحسب ويكيبيديا، "المتصفح بلا واجهة رسومية هو متصفح ويب لا يمتلك واجهة مستخدم رسومية". ثم يحقن JavaScript لتجاوز اكتشاف الروبوتات ويجمع جهات اتصال الضحية.
في النهاية، يرسل الروبوت رسائل الاحتيال الإلكتروني التي تحتوي على مثبّت TCLBANKER إلى جهات اتصال الضحية.
يتصل روبوت Outlook عبر أتمتة Component Object Model (COM). تتيح أتمتة COM لبرنامج ما التحكم في برنامج آخر.
يأخذ الروبوت عناوين البريد الإلكتروني من مجلد جهات الاتصال وسجل البريد الوارد، ثم يرسل رسائل الاحتيال الإلكتروني باستخدام حساب الضحية.
تحمل رسائل البريد الإلكتروني سطر الموضوع "NFe disponível para impressão"، والذي يعني بالعربية "فاتورة إلكترونية متاحة للطباعة". وهي ترتبط بنطاق احتيال يتظاهر بكونه منصة ERP برازيلية.
نظراً لأن رسائل البريد الإلكتروني ترسل من حسابات حقيقية، فإنها أكثر قدرة على تجاوز مرشحات البريد العشوائي.
في الأسبوع الماضي، أفاد Cryptopolitan بأن الباحثين حددوا أربعة أحصنة طروادة لنظام Android تستهدف أكثر من 800 تطبيق للكريبتو والخدمات المصرفية ووسائل التواصل الاجتماعي باستخدام طبقات تسجيل دخول مزيفة.
وفي تقرير آخر، تبيّن أن برمجية خبيثة تُعرف بـ StepDrainer تستنزف المحافظ عبر أكثر من 20 شبكة بلوكتشين باستخدام واجهات اتصال مزيفة لمحفظة Web3.
إذا كنت تريد نقطة دخول أكثر هدوءاً إلى الكريبتو DeFi بعيداً عن الضجيج المعتاد، فابدأ بهذا الفيديو المجاني.
قد يعجبك أيضاً
متعصب ضد الكاثوليك' في إدارة ترامب يواجه انتقادات من عامل سابق غاضب في الحزب الجمهوري'
معدلات تمويل البيتكوين تنخفض إلى أدنى مستوياتها منذ 2020 على منصة بينانس — وقود لمزيد من الصعود؟
