Le cheval de Troie TCLBANKER se propage via les comptes de messagerie des victimes

Les chercheurs en sécurité d'Elastic Security Labs ont découvert un nouveau cheval de Troie bancaire brésilien nommé TCLBANKER. Lorsqu’il infecte une machine, il s’empare des comptes WhatsApp et Outlook de la victime et envoie des messages de phishing à ses contacts.

La campagne est étiquetée REF3076. Sur la base d'une infrastructure et de modèles de code communs, les chercheurs ont lié TCLBANKER à la famille de logiciels malveillants précédemment connue MAVERICK/SORVEPOTEL.

Le cheval de Troie se propage via un générateur d'invites IA

Elastic Security Labs indique que le malware se présente sous la forme d'un programme d'installation trojanisé pour Logi AI Prompt Builder, qui est une véritable application Logitech signée. Le programme d'installation est livré dans un fichier ZIP et utilise le chargement latéral de DLL pour exécuter un fichier malveillant qui ressemble à un plugin Flutter.

Une fois chargé, le cheval de Troie déploie deux charges utiles protégées par .NET Reactor. L'un est un module bancaire et l'autre est un module de ver conçu pour s'auto-propager.

Après le chargement, le cheval de Troie déploie deux charges utiles protégées par .NET Reactor. L'un est un module bancaire et l'autre est un module de ver qui peut se propager.

Contenu du répertoire de fichiers affichant des fichiers malveillants. Source : Laboratoires de sécurité élastiques.

Les contrôles anti-analyse bloquent les chercheurs

L’empreinte digitale créée par le chargeur de TCLBANKER se compose de trois parties.

Vérifications anti-débogage.

Informations sur le disque et la mémoire.

Paramètres de langue.

L'empreinte digitale génère les clés de déchiffrement pour la charge utile intégrée. Si quelque chose ne va pas, comme un débogueur connecté, un environnement sandbox ou un espace disque faible, le décryptage produit des déchets et le malware s'arrête silencieusement.

Le chargeur corrige également les fonctions de télémétrie Windows pour aveugler les outils de sécurité. Il crée des trampolines d'appel système directs pour éviter les hooks en mode utilisateur.

Un organisme de surveillance est toujours à la recherche de logiciels d'analyse tels que x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker et Frida. Si l'un de ces outils est trouvé, la charge utile cesse de fonctionner.

Le module bancaire s'active uniquement sur les ordinateurs brésiliens

Le module bancaire s'active sur les ordinateurs situés au Brésil. Il existe au moins deux vérifications de géolocalisation qui examinent le code de région, le fuseau horaire, les paramètres régionaux du système et la disposition du clavier.

Le malware lit la barre d'URL active du navigateur à l'aide de Windows UI Automation. Il fonctionne sur de nombreux navigateurs comme Chrome, Firefox, Edge, Brave, Opera et Vivaldi, et surveille les URL actives chaque seconde.

Le malware fait ensuite correspondre l'URL à une liste de 59 URL cryptées. Cette liste contient des liens vers des sites Web de cryptographie, de banques et de technologies financières au Brésil.

Lorsqu'une victime visite l'un des sites Web ciblés, le malware ouvre un WebSocket sur un serveur distant. Le pirate informatique obtient alors le contrôle total à distance de l’ordinateur.

Une fois l’accès accordé, le pirate informatique utilise une superposition qui place une fenêtre supérieure sans bordure sur chaque moniteur. La superposition n’est pas visible sur les captures d’écran et les victimes ne peuvent pas partager ce qu’elles voient avec d’autres.

La superposition du hacker comporte trois modèles :

Un formulaire de collecte d'informations d'identification avec un faux numéro de téléphone brésilien.

Un faux écran de progression de Windows Update.

Un « écran d’attente de vishing » qui occupe les victimes.

Des robots malveillants propagent le cheval de Troie brésilien sur WhatsApp et Outlook

La deuxième charge utile propage TCLBANKER aux nouvelles victimes de deux manières :

Application Web WhatsApp.

Boîtes de réception/comptes Outlook.

Le bot WhatsApp recherche les sessions Web WhatsApp actives dans les navigateurs Chromium en localisant les répertoires de bases de données locales de l'application.

Le bot clone le profil du navigateur, puis lance une instance Chromium sans tête. « Un navigateur sans tête est un navigateur Web sans interface utilisateur graphique », selon Wikipédia. Il injecte ensuite du JavaScript pour contourner la détection des robots et récolte les contacts de la victime.

A la fin, le bot envoie des messages de phishing contenant le programme d'installation de TCLBANKER aux contacts de la victime.

Le bot Outlook se connecte via l’automatisation COM (Component Object Model). L'automatisation COM permet à un programme de contrôler un autre programme.

Le robot récupère les adresses e-mail du dossier Contacts et de l’historique de la boîte de réception, puis envoie des e-mails de phishing en utilisant le compte de la victime.

Les e-mails ont pour objet « NFe disponível para Ensurem », ce qui signifie en anglais « Facture électronique disponible pour l'impression ». Il renvoie à un domaine de phishing se faisant passer pour une plateforme ERP brésilienne.

Étant donné que les e-mails sont envoyés à partir de comptes réels, ils sont plus susceptibles de contourner les filtres anti-spam.

La semaine dernière, Cryptopolitan a rapporté que les chercheurs avaient identifié quatre chevaux de Troie Android ciblant plus de 800 applications de cryptographie, bancaires et de réseaux sociaux avec de fausses superpositions de connexion.

Dans un autre rapport, un malware appelé StepDrainer a vidé les portefeuilles sur plus de 20 réseaux blockchain en utilisant de fausses interfaces de connexion de portefeuille Web3.