El troyano TCLBANKER se propaga a través de las propias cuentas de mensajería de las víctimas

Investigadores de seguridad de Elastic Security Labs han descubierto un nuevo troyano bancario brasileño llamado TCLBANKER. Cuando infecta una máquina, se apodera de las cuentas de WhatsApp y Outlook de la víctima y envía mensajes de phishing a sus contactos.

La campaña está etiquetada como REF3076. Basándose en una infraestructura común y patrones de código, los investigadores han vinculado TCLBANKER con la familia de malware previamente conocida MAVERICK/SORVEPOTEL.

El troyano se propaga a través de un generador de avisos de inteligencia artificial

Elastic Security Labs dice que el malware viene como un instalador troyanizado para Logi AI Prompt Builder, que es una aplicación Logitech real firmada. El instalador viene en un archivo ZIP y utiliza la descarga de DLL para ejecutar un archivo malicioso que parece un complemento de Flutter.

Una vez cargado, el troyano implementa dos cargas útiles protegidas por .NET Reactor. Uno es un módulo bancario y el otro es un módulo de gusano creado para la autopropagación.

Después de la carga, el troyano implementa dos cargas útiles protegidas por .NET Reactor. Uno es un módulo bancario y el otro es un módulo de gusano que puede propagarse por sí solo.

Contenido del directorio de archivos que muestra archivos maliciosos. Fuente: Laboratorios de seguridad elástica.

Los controles antianálisis bloquean a los investigadores

Hay tres partes que componen la huella digital que construye el cargador de TCLBANKER.

Comprobaciones antidepuración.

Información de disco y memoria.

Configuración de idioma.

La huella digital genera las claves de descifrado para la carga útil incorporada. Si algo parece estar mal, como un depurador adjunto, un entorno de pruebas o poco espacio en el disco, el descifrado produce basura y el malware se detiene silenciosamente.

El cargador también parchea las funciones de telemetría de Windows para ocultar las herramientas de seguridad. Crea trampolines de llamada directa al sistema para evitar ganchos en modo de usuario.

Un organismo de control siempre está buscando software de análisis como x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker y Frida. Si se encuentra alguna de estas herramientas, la carga útil deja de funcionar.

El módulo bancario se activa solo en computadoras brasileñas

El módulo bancario se activa en computadoras ubicadas en Brasil. Hay un mínimo de dos comprobaciones de geocerca que analizan el código de región, la zona horaria, la configuración regional del sistema y la distribución del teclado.

El malware lee la barra de URL activa del navegador mediante la automatización de la interfaz de usuario de Windows. Funciona en muchos navegadores como Chrome, Firefox, Edge, Brave, Opera y Vivaldi, y monitorea las URL/URL activas cada segundo.

Luego, el malware relaciona la URL con una lista de 59 URL cifradas. Esta lista tiene enlaces a sitios web de criptomonedas, bancos y fintech en Brasil.

Cuando una víctima visita uno de los sitios web objetivo, el malware abre un WebSocket en un servidor remoto. Luego, el hacker obtiene el control remoto total de la computadora.

Una vez que se concede el acceso, el hacker utiliza una superposición que coloca una ventana superior sin bordes sobre cada monitor. La superposición no es visible en las capturas de pantalla y las víctimas no pueden compartir lo que ven con otros.

La superposición del hacker tiene tres plantillas:

Un formulario de recolección de credenciales con un número de teléfono brasileño falso.

Una pantalla de progreso de actualización de Windows falsa.

Una “pantalla de espera vishing” que mantiene ocupadas a las víctimas.

Bots maliciosos propagan el troyano brasileño en WhatsApp y Outlook

La segunda carga útil propaga TCLBANKER a nuevas víctimas de dos maneras:

Aplicación web WhatsApp.

Bandejas de entrada/cuentas de Outlook.

El bot de WhatsApp busca sesiones web activas de WhatsApp en los navegadores Chromium localizando los directorios de bases de datos locales de la aplicación.

El bot clona el perfil del navegador y luego inicia una instancia de Chromium sin cabeza. "Un navegador sin cabeza es un navegador web sin una interfaz gráfica de usuario", según Wikipedia. Luego inyecta JavaScript para evitar la detección de bots y recopila los contactos de la víctima.

Al final, el bot envía mensajes de phishing que contienen el instalador de TCLBANKER a los contactos de la víctima.

El bot de Outlook se conecta a través de la automatización del Modelo de objetos componentes (COM). La automatización COM permite que un programa controle otro programa.

El bot toma direcciones de correo electrónico de la carpeta Contactos y del historial de la bandeja de entrada, luego envía correos electrónicos de phishing utilizando la cuenta de la víctima.

Los correos electrónicos tienen el asunto “NFe disponível para impressão”, que en inglés significa “Factura electrónica disponible para impresión”. Se vincula a un dominio de phishing que se hace pasar por una plataforma ERP brasileña.

Dado que los correos electrónicos se envían desde cuentas reales, es más probable que pasen por alto los filtros de spam.

La semana pasada, Cryptopolitan informó que los investigadores identificaron cuatro troyanos de Android dirigidos a más de 800 aplicaciones de criptomonedas, banca y redes sociales con superposiciones de inicio de sesión falsas.

En otro informe, un malware llamado StepDrainer ha estado drenando billeteras en más de 20 redes blockchain utilizando interfaces de conexión de billetera Web3 falsas.