TCLBANKER ट्रोजन पीड़ितों के अपने मैसेजिंग अकाउंट के माध्यम से फैलता है
Elastic Security Labs के सुरक्षा शोधकर्ताओं ने TCLBANKER नाम का एक नया ब्राज़ीलियाई बैंकिंग ट्रोजन खोजा है। जब यह किसी मशीन को संक्रमित करता है, तो यह पीड़ित के WhatsApp और Outlook अकाउंट पर कब्ज़ा कर लेता है और उनके संपर्कों को फ़िशिंग संदेश भेजता है।
इस अभियान को REF3076 नाम दिया गया है। सामान्य इंफ्रास्ट्रक्चर और कोड पैटर्न के आधार पर, शोधकर्ताओं ने TCLBANKER को पहले से ज्ञात मैलवेयर परिवार MAVERICK/SORVEPOTEL से जोड़ा है।
ट्रोजन एक AI प्रॉम्प्ट बिल्डर के ज़रिए फैलता है
Elastic Security Labs का कहना है कि यह मैलवेयर Logi AI Prompt Builder के एक ट्रोजनाइज़्ड इंस्टॉलर के रूप में आता है, जो एक वास्तविक हस्ताक्षरित Logitech ऐप है। इंस्टॉलर एक ZIP फ़ाइल में आता है और एक दुर्भावनापूर्ण फ़ाइल चलाने के लिए DLL साइडलोडिंग का उपयोग करता है जो Flutter प्लगइन जैसी दिखती है।
लोड होने के बाद, ट्रोजन दो .NET Reactor-संरक्षित पेलोड तैनात करता है। एक बैंकिंग मॉड्यूल है और दूसरा स्व-प्रसार के लिए बनाया गया वर्म मॉड्यूल है।
लोड होने के बाद, ट्रोजन दो .NET Reactor-संरक्षित पेलोड तैनात करता है। एक बैंकिंग मॉड्यूल है, और दूसरा वर्म मॉड्यूल है जो खुद को फैला सकता है।
दुर्भावनापूर्ण फ़ाइलें दिखाने वाली फ़ाइल डायरेक्टरी सामग्री। स्रोत: Elastic Security Labs.
एंटी-एनालिसिस जांच शोधकर्ताओं को रोकती है
TCLBANKER के लोडर द्वारा बनाए गए फ़िंगरप्रिंट में तीन भाग होते हैं।
- एंटी-डीबगिंग जांच।
- डिस्क और मेमोरी जानकारी।
- भाषा सेटिंग्स।
फ़िंगरप्रिंट एम्बेडेड पेलोड के लिए डिक्रिप्शन कुंजियाँ उत्पन्न करता है। यदि कुछ गलत लगता है, जैसे कि एक डीबगर जुड़ा हुआ हो, सैंडबॉक्स वातावरण, या कम डिस्क स्थान, तो डिक्रिप्शन बेकार डेटा उत्पन्न करता है, और मैलवेयर चुपचाप बंद हो जाता है।
लोडर सुरक्षा उपकरणों को अंधा करने के लिए Windows टेलीमेट्री फ़ंक्शन को भी पैच करता है। यह यूज़र-मोड हुक से बचने के लिए डायरेक्ट syscall ट्रैम्पोलिन बनाता है।
एक वॉचडॉग हमेशा x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker और Frida जैसे विश्लेषण सॉफ़्टवेयर की तलाश में रहता है। यदि इनमें से कोई भी टूल मिलता है, तो पेलोड काम करना बंद कर देता है।
बैंकिंग मॉड्यूल केवल ब्राज़ीलियाई कंप्यूटरों पर सक्रिय होता है
बैंकिंग मॉड्यूल ब्राज़ील में स्थित कंप्यूटरों पर सक्रिय होता है। इसमें कम से कम दो जियोफेंसिंग जांच होती हैं जो क्षेत्र कोड, समय क्षेत्र, सिस्टम लोकेल और कीबोर्ड लेआउट की जाँच करती हैं।
मैलवेयर Windows UI Automation का उपयोग करके सक्रिय ब्राउज़र URL बार को पढ़ता है। यह Chrome, Firefox, Edge, Brave, Opera और Vivaldi जैसे कई ब्राउज़रों पर काम करता है, और यह हर सेकंड सक्रिय URL/URLs की निगरानी करता है।
इसके बाद मैलवेयर URL को 59 एन्क्रिप्टेड URLs की सूची से मिलाता है। इस सूची में ब्राज़ील में क्रिप्टो, बैंकों और फिनटेक वेबसाइटों के लिंक हैं।
जब कोई पीड़ित लक्षित वेबसाइटों में से किसी एक पर जाता है, तो मैलवेयर एक रिमोट सर्वर से WebSocket खोलता है। हैकर को फिर कंप्यूटर का पूरा रिमोट नियंत्रण मिल जाता है।
एक्सेस मिलने के बाद, हैकर एक ओवरले का उपयोग करता है जो हर मॉनिटर पर एक बॉर्डरलेस, सबसे ऊपरी विंडो लगाता है। ओवरले स्क्रीनशॉट में दिखाई नहीं देता, और पीड़ित जो देखते हैं उसे दूसरों के साथ साझा नहीं कर सकते।
हैकर के ओवरले में तीन टेम्पलेट हैं:
- नकली ब्राज़ीलियाई फ़ोन नंबर के साथ एक क्रेडेंशियल हार्वेस्टिंग फ़ॉर्म।
- एक नकली Windows Update प्रगति स्क्रीन।
- एक "विशिंग वेट स्क्रीन" जो पीड़ितों को व्यस्त रखती है।
दुर्भावनापूर्ण बॉट WhatsApp और Outlook पर ब्राज़ीलियाई ट्रोजन फैलाते हैं
दूसरा पेलोड दो तरीकों से TCLBANKER को नए पीड़ितों तक फैलाता है:
- WhatsApp वेब ऐप।
- Outlook इनबॉक्स/अकाउंट।
WhatsApp बॉट ऐप के स्थानीय डेटाबेस डायरेक्टरी का पता लगाकर Chromium ब्राउज़रों में सक्रिय WhatsApp Web सत्रों की तलाश करता है।
बॉट ब्राउज़र प्रोफ़ाइल को क्लोन करता है, फिर एक हेडलेस Chromium इंस्टेंस लॉन्च करता है। Wikipedia के अनुसार, "हेडलेस ब्राउज़र एक ग्राफ़िकल यूज़र इंटरफ़ेस के बिना एक वेब ब्राउज़र है।" इसके बाद यह बॉट डिटेक्शन को बायपास करने के लिए JavaScript इंजेक्ट करता है और पीड़ित के संपर्कों को एकत्र करता है।
अंत में, बॉट पीड़ित के संपर्कों को TCLBANKER इंस्टॉलर युक्त फ़िशिंग संदेश भेजता है।
Outlook बॉट Component Object Model (COM) ऑटोमेशन के माध्यम से कनेक्ट होता है। COM ऑटोमेशन एक प्रोग्राम को दूसरे प्रोग्राम को नियंत्रित करने देता है।
बॉट Contacts फ़ोल्डर और इनबॉक्स इतिहास से ईमेल पते लेता है, फिर पीड़ित के अकाउंट का उपयोग करके फ़िशिंग ईमेल भेजता है।
ईमेल की विषय पंक्ति "NFe disponível para impressão" है, जिसका अंग्रेज़ी में अर्थ है "Electronic Invoice Available for Printing"। यह एक ब्राज़ीलियाई ERP प्लेटफ़ॉर्म का रूप धारण करने वाले फ़िशिंग डोमेन से लिंक करता है।
चूंकि ईमेल वास्तविक अकाउंट से भेजे जाते हैं, इसलिए वे स्पैम फ़िल्टर को बायपास करने की अधिक संभावना रखते हैं।
पिछले हफ्ते, Cryptopolitan ने रिपोर्ट किया था कि शोधकर्ताओं ने चार Android ट्रोजन की पहचान की है जो नकली लॉगिन ओवरले के साथ +800 क्रिप्टो, बैंकिंग और सोशल मीडिया ऐप को लक्षित कर रहे हैं।
एक अन्य रिपोर्ट में, StepDrainer नामक एक मैलवेयर नकली Web3 वॉलेट कनेक्शन इंटरफेस का उपयोग करके +20 ब्लॉकचेन नेटवर्क पर वॉलेट खाली कर रहा है।
यदि आप सामान्य हाइप के बिना DeFi क्रिप्टो में एक शांत प्रवेश बिंदु चाहते हैं, तो इस मुफ़्त वीडियो से शुरुआत करें।
आपको यह भी पसंद आ सकता है
ट्रंप समर्थक पादरी का दावा, राष्ट्रपति की बाइबल की समझ पोप लियो से 'बेहतर' है
TON मूल्य भविष्यवाणी: तकनीकी रीसेट के बीच $3.00 की पहुंच संभव
