Troianul TCLBANKER se răspândește prin conturile de mesagerie ale victimelor

Cercetătorii în securitate de la Elastic Security Labs au descoperit un nou troian bancar brazilian numit TCLBANKER. Când infectează un dispozitiv, preia conturile WhatsApp și Outlook ale victimei și trimite mesaje de phishing contactelor acesteia.

Campania este etichetată ca REF3076. Pe baza infrastructurii comune și a tiparelor de cod, cercetătorii au legat TCLBANKER de familia de malware cunoscută anterior MAVERICK/SORVEPOTEL.

Troianul se răspândește printr-un constructor de prompturi AI

Elastic Security Labs spune că malware-ul vine sub forma unui installer troianizat pentru Logi AI Prompt Builder, care este o aplicație Logitech reală și semnată. Installerul vine într-un fișier ZIP și folosește DLL sideloading pentru a rula un fișier malițios care arată ca un plugin Flutter.

Odată încărcat, troianul implementează două payload-uri protejate de .NET Reactor. Unul este un modul bancar, iar celălalt este un modul worm construit pentru auto-propagare.

După încărcare, troianul implementează două payload-uri protejate de .NET Reactor. Unul este un modul bancar, iar celălalt este un modul worm care se poate răspândi singur.

Verificările anti-analiză blochează cercetătorii

Există trei părți care alcătuiesc amprenta pe care o construiește loader-ul TCLBANKER.

1. Verificări anti-debugging.
2. Informații despre disc și memorie.
3. Setări de limbă.

Amprenta generează cheile de decriptare pentru payload-ul încorporat. Dacă ceva pare greșit, cum ar fi un debugger atașat, un mediu sandbox sau spațiu redus pe disc, decriptarea produce date inutilizabile, iar malware-ul se oprește silențios.

Loader-ul corectează, de asemenea, funcțiile de telemetrie Windows pentru a orbi instrumentele de securitate. Creează trambuline directe syscall pentru a evita hook-urile în modul utilizator.

Un watchdog caută întotdeauna software de analiză precum x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker și Frida. Dacă vreunul dintre aceste instrumente este găsit, payload-ul încetează să funcționeze.

Modulul bancar se activează doar pe computerele din Brazilia

Modulul bancar se activează pe computerele situate în Brazilia. Există un minim de două verificări de geofencing care analizează codul de regiune, fusul orar, localizarea sistemului și aspectul tastaturii.

Malware-ul citește bara de URL a browserului activ folosind Windows UI Automation. Funcționează pe mai multe browsere precum Chrome, Firefox, Edge, Brave, Opera și Vivaldi și monitorizează URL-ul/URL-urile active în fiecare secundă.

Malware-ul asociază apoi URL-ul cu o listă de 59 de URL-uri criptate. Această listă conține linkuri către site-uri web de crypto, bănci și fintech din Brazilia.

Când o victimă vizitează unul dintre site-urile vizate, malware-ul deschide un WebSocket către un server de la distanță. Hackerul obține apoi control deplin de la distanță asupra computerului.

Odată ce accesul este acordat, hackerul folosește un overlay care plasează o fereastră fără borduri, în prim-plan, peste fiecare monitor. Overlay-ul nu este vizibil în capturi de ecran, iar victimele nu pot partaja ceea ce văd cu alții.

Overlay-ul hackerului are trei șabloane:

• Un formular de colectare a credențialelor cu un număr de telefon brazilian fals.
• Un ecran fals de progres Windows Update.
• Un „ecran de așteptare vishing" care menține victimele ocupate.

Boții malițioși răspândesc troianul brazilian pe WhatsApp și Outlook

Al doilea payload răspândește TCLBANKER către noi victime prin două metode:

• Aplicația web WhatsApp.
• Căsuțele poștale/conturile Outlook.

Botul WhatsApp caută sesiuni active WhatsApp Web în browserele Chromium prin localizarea directoarelor bazei de date locale ale aplicației.

Botul clonează profilul browserului, apoi lansează o instanță Chromium headless. „Un browser headless este un browser web fără interfață grafică cu utilizatorul", conform Wikipedia. Apoi injectează JavaScript pentru a ocoli detectarea boților și colectează contactele victimei.

La final, botul trimite mesaje de phishing care conțin installerul TCLBANKER către contactele victimei.

Botul Outlook se conectează prin automatizarea Component Object Model (COM). Automatizarea COM permite unui program să controleze un alt program.

Botul preia adresele de e-mail din folderul Contacte și istoricul căsuței de primire, apoi trimite e-mailuri de phishing folosind contul victimei.

E-mailurile au subiectul „NFe disponível para impressão," ceea ce înseamnă în română „Factură electronică disponibilă pentru tipărire". Acesta trimite către un domeniu de phishing care imită o platformă ERP braziliană.

Deoarece e-mailurile sunt trimise din conturi reale, este mai probabil să ocolească filtrele de spam.

Săptămâna trecută, Cryptopolitan a raportat că cercetătorii au identificat patru troieni Android care vizează peste 800 de aplicații de crypto, banking și rețele sociale cu overlay-uri false de autentificare.

Într-un alt raport, un malware numit StepDrainer golește portofele pe peste 20 de rețele blockchain folosind interfețe false de conectare a portofelelor Web3.

Dacă doriți un punct de intrare mai calm în DeFi crypto fără hype-ul obișnuit, începeți cu acest videoclip gratuit.