TCLBANKER-Trojaner verbreitet sich über die eigenen Nachrichtenkonten der Opfer

Sicherheitsforscher von Elastic Security Labs haben einen neuen brasilianischen Banking-Trojaner namens TCLBANKER entdeckt. Wenn er einen Computer infiziert, übernimmt er die WhatsApp- und Outlook-Konten des Opfers und sendet Phishing-Nachrichten an dessen Kontakte.

Die Kampagne trägt die Bezeichnung REF3076. Basierend auf gemeinsamer Infrastruktur und Code-Mustern haben Forscher TCLBANKER mit der zuvor bekannten Malware-Familie MAVERICK/SORVEPOTEL in Verbindung gebracht.

Trojaner verbreitet sich über einen KI-Prompt-Builder

Elastic Security Labs zufolge wird die Malware als trojanisierter Installer für den Logi AI Prompt Builder verbreitet, eine echte, signierte Logitech-App. Der Installer kommt in einer ZIP-Datei und nutzt DLL-Sideloading, um eine schädliche Datei auszuführen, die wie ein Flutter-Plugin aussieht.

Nach dem Laden setzt der Trojaner zwei durch .NET Reactor geschützte Payloads ein. Eine ist ein Banking-Modul, die andere ein Wurm-Modul, das zur Selbstverbreitung entwickelt wurde.

Nach dem Laden setzt der Trojaner zwei durch .NET Reactor geschützte Payloads ein. Eine ist ein Banking-Modul, die andere ein Wurm-Modul, das sich selbst verbreiten kann.

Anti-Analyse-Prüfungen blockieren Forscher

Der Fingerabdruck, den der Loader von TCLBANKER erstellt, besteht aus drei Teilen.

1. Anti-Debugging-Prüfungen.
2. Festplatten- und Speicherinformationen.
3. Spracheinstellungen.

Der Fingerabdruck generiert die Entschlüsselungsschlüssel für die eingebettete Payload. Wenn etwas nicht stimmt, wie z. B. ein angehängter Debugger, eine Sandbox-Umgebung oder geringer Festplattenspeicher, erzeugt die Entschlüsselung unbrauchbare Daten, und die Malware stoppt lautlos.

Der Loader patcht außerdem Windows-Telemetriefunktionen, um Sicherheitstools zu blenden. Er erstellt direkte Syscall-Trampolines, um User-Mode-Hooks zu umgehen.

Ein Watchdog sucht ständig nach Analysesoftware wie x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker und Frida. Wird eines dieser Tools gefunden, stoppt die Payload den Betrieb.

Banking-Modul aktiviert sich nur auf brasilianischen Computern

Das Banking-Modul aktiviert sich auf Computern, die sich in Brasilien befinden. Es gibt mindestens zwei Geofencing-Prüfungen, die Regionscode, Zeitzone, Systemgebietsschema und Tastaturlayout überprüfen.

Die Malware liest die aktive Browser-URL-Leiste mithilfe von Windows UI Automation aus. Sie funktioniert in vielen Browsern wie Chrome, Firefox, Edge, Brave, Opera und Vivaldi und überwacht jede Sekunde die aktive(n) URL(s).

Die Malware gleicht die URL dann mit einer Liste von 59 verschlüsselten URLs ab. Diese Liste enthält Links zu Krypto-, Bank- und Fintech-Websites in Brasilien.

Wenn ein Opfer eine der Ziel-Websites besucht, öffnet die Malware eine WebSocket-Verbindung zu einem Remote-Server. Der Hacker erhält dann die vollständige Fernsteuerung des Computers.

Sobald der Zugang gewährt wird, verwendet der Hacker ein Overlay, das ein rahmenloses, oberstes Fenster über jeden Monitor legt. Das Overlay ist auf Screenshots nicht sichtbar, und Opfer können nicht teilen, was sie sehen.

Das Overlay des Hackers verfügt über drei Vorlagen:

• Ein Formular zur Erfassung von Zugangsdaten mit einer gefälschten brasilianischen Telefonnummer.
• Ein gefälschter Windows-Update-Fortschrittsbildschirm.
• Ein „Vishing-Wartebildschirm", der die Opfer beschäftigt hält.

Schädliche Bots verbreiten den brasilianischen Trojaner über WhatsApp und Outlook

Die zweite Payload verbreitet TCLBANKER auf zwei Wegen an neue Opfer:

• WhatsApp-Web-App.
• Outlook-Postfächer/Konten.

Der WhatsApp-Bot sucht nach aktiven WhatsApp-Web-Sitzungen in Chromium-Browsern, indem er die lokalen Datenbankverzeichnisse der App lokalisiert.

Der Bot klont das Browser-Profil und startet dann eine Headless-Chromium-Instanz. „Ein Headless-Browser ist ein Webbrowser ohne grafische Benutzeroberfläche", so Wikipedia. Anschließend injiziert er JavaScript, um die Bot-Erkennung zu umgehen, und sammelt die Kontakte des Opfers.

Am Ende sendet der Bot Phishing-Nachrichten mit dem TCLBANKER-Installer an die Kontakte des Opfers.

Der Outlook-Bot verbindet sich über Component Object Model (COM)-Automatisierung. COM-Automatisierung ermöglicht es einem Programm, ein anderes Programm zu steuern.

Der Bot entnimmt E-Mail-Adressen aus dem Kontakteordner und dem Posteingangs-Verlauf und sendet dann Phishing-E-Mails über das Konto des Opfers.

Die E-Mails haben die Betreffzeile „NFe disponível para impressão", was auf Englisch „Electronic Invoice Available for Printing" bedeutet. Sie verlinkt auf eine Phishing-Domain, die eine brasilianische ERP-Plattform imitiert.

Da die E-Mails von echten Konten gesendet werden, ist es wahrscheinlicher, dass sie Spam-Filter umgehen.

Letzte Woche berichtete Cryptopolitan, dass Forscher vier Android-Trojaner identifiziert haben, die über +800 Krypto-, Bank- und Social-Media-Apps mit gefälschten Login-Overlays angreifen.

In einem weiteren Bericht wird beschrieben, dass eine Malware namens StepDrainer Wallets in über +20 Blockchain-Netzwerken mithilfe gefälschter Web3-Wallet-Verbindungsschnittstellen leert.

Wenn Sie einen ruhigeren Einstieg in DeFi-Krypto ohne den üblichen Hype suchen, starten Sie mit diesem kostenlosen Video.