Der TCLBANKER-Trojaner verbreitet sich über die eigenen Messaging-Konten der Opfer

Sicherheitsforscher von Elastic Security Labs haben einen neuen brasilianischen Bankentrojaner namens TCLBANKER entdeckt. Wenn es einen Computer infiziert, übernimmt es die WhatsApp- und Outlook-Konten des Opfers und sendet Phishing-Nachrichten an dessen Kontakte.

Die Kampagne trägt die Bezeichnung REF3076. Basierend auf gängigen Infrastruktur- und Codemustern haben Forscher TCLBANKER mit der bisher bekannten Malware-Familie MAVERICK/SORVEPOTEL verknüpft.

Der Trojaner verbreitet sich über einen KI-Prompt-Builder

Laut Elastic Security Labs handelt es sich bei der Malware um ein trojanisiertes Installationsprogramm für Logi AI Prompt Builder, eine echte signierte Logitech-App. Das Installationsprogramm wird in einer ZIP-Datei geliefert und nutzt DLL-Sideloading, um eine schädliche Datei auszuführen, die wie ein Flutter-Plugin aussieht.

Nach dem Laden stellt der Trojaner zwei durch .NET Reactor geschützte Payloads bereit. Das eine ist ein Banking-Modul und das andere ist ein Wurmmodul, das zur Selbstverbreitung entwickelt wurde.

Nach dem Laden stellt der Trojaner zwei durch .NET Reactor geschützte Payloads bereit. Bei dem einen handelt es sich um ein Bankmodul, bei dem anderen um ein Wurmmodul, das sich selbst verbreiten kann.

Inhalt des Dateiverzeichnisses mit schädlichen Dateien. Quelle: Elastic Security Labs.

Anti-Analyse-Checks blockieren Forscher

Der Fingerabdruck, den der Loader von TCLBANKER erstellt, besteht aus drei Teilen.

Anti-Debugging-Prüfungen.

Festplatten- und Speicherinformationen.

Spracheinstellungen.

Der Fingerabdruck generiert die Entschlüsselungsschlüssel für die eingebettete Nutzlast. Wenn etwas nicht stimmt, beispielsweise ein angeschlossener Debugger, eine Sandbox-Umgebung oder wenig Speicherplatz, erzeugt die Entschlüsselung Müll und die Malware wird stillschweigend gestoppt.

Der Loader patcht auch Windows-Telemetriefunktionen, um Sicherheitstools auszublenden. Es erstellt direkte Systemaufruf-Trampoline, um Benutzermodus-Hooks zu vermeiden.

Ein Watchdog ist immer auf der Suche nach Analysesoftware wie x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker und Frida. Wenn eines dieser Tools gefunden wird, funktioniert die Nutzlast nicht mehr.

Das Banking-Modul wird nur auf brasilianischen Computern aktiviert

Das Banking-Modul wird auf Computern in Brasilien aktiviert. Es gibt mindestens zwei Geofencing-Prüfungen, die den Regionalcode, die Zeitzone, das Systemgebietsschema und das Tastaturlayout prüfen.

Die Malware liest die URL-Leiste des aktiven Browsers mithilfe der Windows-UI-Automatisierung. Es funktioniert in vielen Browsern wie Chrome, Firefox, Edge, Brave, Opera und Vivaldi und überwacht jede Sekunde aktive URLs.

Die Malware ordnet die URL dann einer Liste von 59 verschlüsselten URLs zu. Diese Liste enthält Links zu Krypto-, Banken- und Fintech-Websites in Brasilien.

Wenn ein Opfer eine der angegriffenen Websites besucht, öffnet die Malware einen WebSocket zu einem Remote-Server. Der Hacker erhält dann die vollständige Fernkontrolle über den Computer.

Sobald der Zugriff gewährt wird, verwendet der Hacker ein Overlay, das ein randloses, oberstes Fenster über jeden Monitor legt. Das Overlay ist auf Screenshots nicht sichtbar und Opfer können das, was sie sehen, nicht mit anderen teilen.

Das Hacker-Overlay verfügt über drei Vorlagen:

Ein Formular zum Sammeln von Anmeldedaten mit einer gefälschten brasilianischen Telefonnummer.

Ein gefälschter Windows Update-Fortschrittsbildschirm.

Ein „Vishing-Wartebildschirm“, der die Opfer beschäftigt.

Bösartige Bots verbreiten den brasilianischen Trojaner auf WhatsApp und Outlook

Die zweite Nutzlast verbreitet TCLBANKER auf zwei Arten an neue Opfer:

WhatsApp-Web-App.

Outlook-Posteingänge/Konten.

Der WhatsApp-Bot sucht in Chromium-Browsern nach aktiven WhatsApp-Websitzungen, indem er die lokalen Datenbankverzeichnisse der App findet.

Der Bot klont das Browserprofil und startet dann eine kopflose Chromium-Instanz. „Ein Headless-Browser ist ein Webbrowser ohne grafische Benutzeroberfläche“, so Wikipedia. Anschließend wird JavaScript eingefügt, um die Bot-Erkennung zu umgehen, und die Kontakte des Opfers erfasst.

Am Ende sendet der Bot Phishing-Nachrichten mit dem TCLBANKER-Installationsprogramm an die Kontakte des Opfers.

Der Outlook-Bot stellt eine Verbindung über die COM-Automatisierung (Component Object Model) her. Mit der COM-Automatisierung kann ein Programm ein anderes Programm steuern.

Der Bot entnimmt E-Mail-Adressen aus dem Ordner „Kontakte“ und dem Posteingangsverlauf und versendet dann Phishing-E-Mails über das Konto des Opfers.

Die E-Mails haben die Betreffzeile „NFe disponível para impressão“, was auf Englisch „Elektronische Rechnung zum Drucken verfügbar“ bedeutet. Es verweist auf eine Phishing-Domain, die sich als eine brasilianische ERP-Plattform ausgibt.

Da die E-Mails von echten Konten gesendet werden, ist es wahrscheinlicher, dass sie Spamfilter umgehen.

Letzte Woche berichtete Cryptopolitan, dass Forscher vier Android-Trojaner identifiziert haben, die es auf über 800 Krypto-, Banking- und Social-Media-Apps mit gefälschten Login-Overlays abgesehen haben.

In einem anderen Bericht hat eine Malware namens StepDrainer mithilfe gefälschter Web3-Wallet-Verbindungsschnittstellen Wallets in über 20 Blockchain-Netzwerken geleert.