Το trojan TCLBANKER εξαπλώνεται μέσω των λογαριασμών μηνυμάτων των ίδιων των θυμάτων

Ερευνητές ασφαλείας από τα Elastic Security Labs ανακάλυψαν ένα νέο βραζιλιάνικο τραπεζικό trojan με το όνομα TCLBANKER. Όταν μολύνει ένα μηχάνημα, καταλαμβάνει τους λογαριασμούς WhatsApp και Outlook του θύματος και αποστέλλει μηνύματα phishing στις επαφές του.

Η εκστρατεία χαρακτηρίζεται ως REF3076. Με βάση κοινές υποδομές και μοτίβα κώδικα, οι ερευνητές συνέδεσαν το TCLBANKER με την προηγουμένως γνωστή οικογένεια κακόβουλου λογισμικού MAVERICK/SORVEPOTEL.

Το trojan εξαπλώνεται μέσω ενός εργαλείου δημιουργίας προτροπών AI

Τα Elastic Security Labs αναφέρουν ότι το κακόβουλο λογισμικό διανέμεται ως τροποποιημένο πρόγραμμα εγκατάστασης για το Logi AI Prompt Builder, το οποίο είναι μια πραγματική υπογεγραμμένη εφαρμογή της Logitech. Το πρόγραμμα εγκατάστασης παρέχεται σε αρχείο ZIP και χρησιμοποιεί DLL sideloading για να εκτελέσει ένα κακόβουλο αρχείο που μοιάζει με πρόσθετο Flutter.

Μόλις φορτωθεί, το trojan αναπτύσσει δύο ωφέλιμα φορτία προστατευμένα από .NET Reactor. Το ένα είναι ένα τραπεζικό module και το άλλο είναι ένα module σκουληκιού που έχει κατασκευαστεί για αυτο-εξάπλωση.

Μετά τη φόρτωση, το trojan αναπτύσσει δύο ωφέλιμα φορτία προστατευμένα από .NET Reactor. Το ένα είναι ένα τραπεζικό module και το άλλο είναι ένα module σκουληκιού που μπορεί να εξαπλωθεί μόνο του.

Οι έλεγχοι κατά της ανάλυσης εμποδίζουν τους ερευνητές

Υπάρχουν τρία μέρη που αποτελούν το αποτύπωμα που δημιουργεί ο φορτωτής του TCLBANKER.

1. Έλεγχοι κατά της αποσφαλμάτωσης.
2. Πληροφορίες δίσκου και μνήμης.
3. Ρυθμίσεις γλώσσας.

Το αποτύπωμα δημιουργεί τα κλειδιά αποκρυπτογράφησης για το ενσωματωμένο ωφέλιμο φορτίο. Εάν κάτι φαίνεται λανθασμένο, όπως ένας προσαρτημένος αποσφαλματωτής, ένα περιβάλλον sandbox ή χαμηλός χώρος στο δίσκο, η αποκρυπτογράφηση παράγει ανοησίες και το κακόβουλο λογισμικό σταματά αθόρυβα.

Ο φορτωτής επίσης διορθώνει τις λειτουργίες τηλεμετρίας των Windows για να εμποδίσει τα εργαλεία ασφαλείας. Δημιουργεί άμεσα trampolines syscall για να αποφύγει τα hooks λειτουργίας χρήστη.

Ένας φρουρός αναζητά πάντα λογισμικό ανάλυσης όπως x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker και Frida. Εάν εντοπιστεί οποιοδήποτε από αυτά τα εργαλεία, το ωφέλιμο φορτίο σταματά να λειτουργεί.

Το τραπεζικό module ενεργοποιείται μόνο σε βραζιλιάνικους υπολογιστές

Το τραπεζικό module ενεργοποιείται σε υπολογιστές που βρίσκονται στη Βραζιλία. Υπάρχουν τουλάχιστον δύο έλεγχοι geofencing που εξετάζουν τον κωδικό περιοχής, τη ζώνη ώρας, τις τοπικές ρυθμίσεις συστήματος και τη διάταξη πληκτρολογίου.

Το κακόβουλο λογισμικό διαβάζει την ενεργή γραμμή URL του προγράμματος περιήγησης χρησιμοποιώντας το Windows UI Automation. Λειτουργεί σε πολλά προγράμματα περιήγησης όπως Chrome, Firefox, Edge, Brave, Opera και Vivaldi, και παρακολουθεί την ενεργή URL/URLs κάθε δευτερόλεπτο.

Το κακόβουλο λογισμικό στη συνέχεια αντιπαραβάλλει την URL με μια λίστα 59 κρυπτογραφημένων URLs. Αυτή η λίστα περιέχει συνδέσμους προς ιστότοπους κρυπτονομισμάτων, τραπεζών και fintech στη Βραζιλία.

Όταν ένα θύμα επισκέπτεται έναν από τους στοχευμένους ιστότοπους, το κακόβουλο λογισμικό ανοίγει ένα WebSocket σε έναν απομακρυσμένο διακομιστή. Ο χάκερ αποκτά στη συνέχεια πλήρη απομακρυσμένο έλεγχο του υπολογιστή.

Μόλις χορηγηθεί η πρόσβαση, ο χάκερ χρησιμοποιεί ένα overlay που τοποθετεί ένα παράθυρο χωρίς περίγραμμα στην κορυφή σε κάθε οθόνη. Το overlay δεν είναι ορατό σε στιγμιότυπα οθόνης και τα θύματα δεν μπορούν να μοιραστούν αυτό που βλέπουν με άλλους.

Το overlay του χάκερ έχει τρία πρότυπα:

• Μια φόρμα συλλογής διαπιστευτηρίων με έναν ψεύτικο βραζιλιάνικο αριθμό τηλεφώνου.
• Μια ψεύτικη οθόνη προόδου Ενημέρωσης των Windows.
• Μια «οθόνη αναμονής vishing» που κρατά τα θύματα απασχολημένα.

Κακόβουλα bots εξαπλώνουν το βραζιλιάνικο trojan στο WhatsApp και το Outlook

Το δεύτερο ωφέλιμο φορτίο εξαπλώνει το TCLBANKER σε νέα θύματα μέσω δύο τρόπων:

• Εφαρμογή web WhatsApp.
• Εισερχόμενα/λογαριασμοί Outlook.

Το bot του WhatsApp αναζητά ενεργές συνεδρίες WhatsApp Web σε προγράμματα περιήγησης Chromium εντοπίζοντας τους τοπικούς καταλόγους βάσης δεδομένων της εφαρμογής.

Το bot κλωνοποιεί το προφίλ του προγράμματος περιήγησης, στη συνέχεια εκκινεί μια headless παρουσία Chromium. «Ένα headless πρόγραμμα περιήγησης είναι ένα πρόγραμμα περιήγησης ιστού χωρίς γραφική διεπαφή χρήστη», σύμφωνα με τη Wikipedia. Στη συνέχεια εισάγει JavaScript για να παρακάμψει τον εντοπισμό bot και συλλέγει τις επαφές του θύματος.

Στο τέλος, το bot αποστέλλει μηνύματα phishing που περιέχουν το πρόγραμμα εγκατάστασης TCLBANKER στις επαφές του θύματος.

Το bot του Outlook συνδέεται μέσω αυτοματισμού Component Object Model (COM). Ο αυτοματισμός COM επιτρέπει σε ένα πρόγραμμα να ελέγχει ένα άλλο πρόγραμμα.

Το bot λαμβάνει διευθύνσεις email από τον φάκελο Επαφές και το ιστορικό των εισερχομένων, στη συνέχεια αποστέλλει μηνύματα phishing χρησιμοποιώντας τον λογαριασμό του θύματος.

Τα μηνύματα email έχουν τη γραμμή θέματος "NFe disponível para impressão," που σημαίνει στα αγγλικά, "Electronic Invoice Available for Printing". Συνδέεται με έναν τομέα phishing που μιμείται μια βραζιλιάνικη πλατφόρμα ERP.

Εφόσον τα μηνύματα αποστέλλονται από πραγματικούς λογαριασμούς, είναι πιο πιθανό να παρακάμψουν τα φίλτρα spam.

Την περασμένη εβδομάδα, το Cryptopolitan ανέφερε ότι ερευνητές εντόπισαν τέσσερα Android trojans που στοχεύουν περισσότερες από 800 εφαρμογές κρυπτονομισμάτων, τραπεζών και κοινωνικών μέσων με ψεύτικα overlays σύνδεσης.

Σε άλλη αναφορά, ένα κακόβουλο λογισμικό που ονομάζεται StepDrainer αδειάζει πορτοφόλια σε περισσότερα από 20 δίκτυα blockchain χρησιμοποιώντας ψεύτικες διεπαφές σύνδεσης πορτοφολιών Web3.

Εάν θέλετε μια πιο ήρεμη είσοδο στο DeFi crypto χωρίς τη συνηθισμένη υπερβολή, ξεκινήστε με αυτό το δωρεάν βίντεο.