Trojan TCLBANKER lây lan qua tài khoản nhắn tin của chính nạn nhân

Các nhà nghiên cứu bảo mật từ Elastic Security Labs đã phát hiện một trojan ngân hàng Brazil mới có tên TCLBANKER. Khi lây nhiễm vào máy tính, nó chiếm quyền kiểm soát tài khoản WhatsApp và Outlook của nạn nhân, sau đó gửi tin nhắn giả mạo đến danh bạ của họ.

Chiến dịch này được gắn nhãn là REF3076. Dựa trên cơ sở hạ tầng chung và các mẫu mã, các nhà nghiên cứu đã liên kết TCLBANKER với họ phần mềm độc hại đã biết trước đó là MAVERICK/SORVEPOTEL.

Trojan lây lan qua một công cụ tạo lệnh AI

Elastic Security Labs cho biết phần mềm độc hại được ngụy trang dưới dạng trình cài đặt trojan hóa cho Logi AI Prompt Builder, đây là một ứng dụng Logitech thực sự đã được ký. Trình cài đặt được đóng gói trong tệp ZIP và sử dụng kỹ thuật DLL sideloading để chạy một tệp độc hại trông giống như một plugin Flutter.

Sau khi được tải, trojan triển khai hai payload được bảo vệ bởi .NET Reactor. Một là mô-đun ngân hàng và mô-đun còn lại là mô-đun worm được xây dựng để tự lan truyền.

Sau khi tải xong, trojan triển khai hai payload được bảo vệ bởi .NET Reactor. Một là mô-đun ngân hàng, mô-đun còn lại là mô-đun worm có khả năng tự lây lan.

Các kiểm tra chống phân tích ngăn chặn nhà nghiên cứu

Có ba phần tạo nên dấu vân tay mà trình tải của TCLBANKER xây dựng.

1. Kiểm tra chống gỡ lỗi.
2. Thông tin đĩa và bộ nhớ.
3. Cài đặt ngôn ngữ.

Dấu vân tay tạo ra các khóa giải mã cho payload nhúng. Nếu có điều gì đó có vẻ bất thường, chẳng hạn như trình gỡ lỗi được đính kèm, môi trường sandbox hoặc dung lượng đĩa thấp, quá trình giải mã sẽ tạo ra dữ liệu rác và phần mềm độc hại dừng lại một cách âm thầm.

Trình tải cũng vá các hàm telemetry của Windows để che mắt các công cụ bảo mật. Nó tạo ra các syscall trampoline trực tiếp để tránh các hook ở chế độ người dùng.

Một watchdog luôn theo dõi các phần mềm phân tích như x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker và Frida. Nếu bất kỳ công cụ nào trong số này được tìm thấy, payload sẽ ngừng hoạt động.

Mô-đun ngân hàng chỉ kích hoạt trên máy tính ở Brazil

Mô-đun ngân hàng kích hoạt trên các máy tính đặt tại Brazil. Có ít nhất hai kiểm tra geofencing xem xét mã vùng, múi giờ, ngôn ngữ hệ thống và bố cục bàn phím.

Phần mềm độc hại đọc thanh URL trình duyệt đang hoạt động bằng cách sử dụng Windows UI Automation. Nó hoạt động trên nhiều trình duyệt như Chrome, Firefox, Edge, Brave, Opera và Vivaldi, đồng thời theo dõi URL đang hoạt động mỗi giây.

Sau đó, phần mềm độc hại so khớp URL với danh sách 59 URL được mã hóa. Danh sách này có các liên kết đến các trang web tiền mã hoá, ngân hàng và fintech tại Brazil.

Khi nạn nhân truy cập một trong các trang web mục tiêu, phần mềm độc hại mở WebSocket đến một máy chủ từ xa. Hacker sau đó có toàn quyền kiểm soát từ xa máy tính.

Sau khi được cấp quyền truy cập, hacker sử dụng một lớp phủ đặt một cửa sổ không có viền, ở trên cùng phủ lên mọi màn hình. Lớp phủ không hiển thị trong ảnh chụp màn hình và nạn nhân không thể chia sẻ những gì họ thấy với người khác.

Lớp phủ của hacker có ba mẫu:

• Biểu mẫu thu thập thông tin đăng nhập với số điện thoại Brazil giả.
• Màn hình tiến trình Cập nhật Windows giả.
• Một "màn hình chờ vishing" giữ nạn nhân bận rộn.

Các bot độc hại lây lan trojan Brazil trên WhatsApp và Outlook

Payload thứ hai lây lan TCLBANKER đến các nạn nhân mới thông qua hai cách:

• Ứng dụng web WhatsApp.
• Hộp thư đến/tài khoản Outlook.

Bot WhatsApp tìm kiếm các phiên WhatsApp Web đang hoạt động trong các trình duyệt Chromium bằng cách xác định vị trí các thư mục cơ sở dữ liệu cục bộ của ứng dụng.

Bot sao chép hồ sơ trình duyệt, sau đó khởi chạy một phiên bản Chromium không giao diện. "Trình duyệt không giao diện là trình duyệt web không có giao diện người dùng đồ họa," theo Wikipedia. Sau đó, nó tiêm JavaScript để vượt qua phát hiện bot và thu thập danh bạ của nạn nhân.

Cuối cùng, bot gửi tin nhắn giả mạo chứa trình cài đặt TCLBANKER đến danh bạ của nạn nhân.

Bot Outlook kết nối thông qua tự động hóa Component Object Model (COM). Tự động hóa COM cho phép một chương trình điều khiển một chương trình khác.

Bot lấy địa chỉ Email từ thư mục Danh bạ và lịch sử hộp thư đến, sau đó gửi Email giả mạo bằng tài khoản của nạn nhân.

Các Email có dòng tiêu đề "NFe disponível para impressão," có nghĩa trong tiếng Anh là "Electronic Invoice Available for Printing". Nó liên kết đến một tên miền giả mạo mạo danh một nền tảng ERP của Brazil.

Vì các Email được gửi từ tài khoản thực, chúng có nhiều khả năng vượt qua bộ lọc thư rác hơn.

Tuần trước, Cryptopolitan đưa tin rằng các nhà nghiên cứu đã xác định bốn trojan Android nhắm mục tiêu hơn 800 ứng dụng tiền mã hoá, ngân hàng và mạng xã hội bằng các lớp phủ đăng nhập giả.

Trong một báo cáo khác, một phần mềm độc hại có tên StepDrainer đã rút cạn ví tiền trên hơn 20 mạng blockchain bằng cách sử dụng các giao diện kết nối ví Web3 giả.

Nếu bạn muốn một điểm vào DeFi tiền mã hoá bình tĩnh hơn mà không có sự cường điệu thông thường, hãy bắt đầu với video miễn phí này.