Троян TCLBANKER распространяется через собственные учетные записи жертв

Исследователи безопасности из Elastic Security Labs обнаружили новый бразильский банковский троян под названием TCLBANKER. Заражая компьютер, он захватывает учетные записи WhatsApp и Outlook жертвы и отправляет фишинговые сообщения ее контактам.

Кампания имеет обозначение REF3076. Основываясь на общей инфраструктуре и шаблонах кода, исследователи связали TCLBANKER с ранее известным семейством вредоносных программ MAVERICK/SORVEPOTEL.

Троянец распространяется через конструктор подсказок ИИ

В Elastic Security Labs утверждают, что вредоносное ПО представляет собой зараженный трояном установщик Logi AI Prompt Builder, который представляет собой настоящее подписанное приложение Logitech. Установщик поставляется в виде ZIP-файла и использует загрузку неопубликованных DLL для запуска вредоносного файла, похожего на плагин Flutter.

После загрузки троян развертывает две полезные нагрузки, защищенные .NET Reactor. Один из них представляет собой банковский модуль, а другой — модуль-червь, созданный для самораспространения.

После загрузки троян развертывает две полезные нагрузки, защищенные .NET Reactor. Один из них представляет собой банковский модуль, а другой — модуль-червь, который может распространяться самостоятельно.

Содержимое каталога файлов, показывающее вредоносные файлы. Источник: Лаборатории Elastic Security.

Антианалитические проверки блокируют исследователей

Есть три части, составляющие отпечаток пальца, который создает загрузчик TCLBANKER.

Антиотладочные проверки.

Информация о диске и памяти.

Языковые настройки.

Отпечаток пальца генерирует ключи дешифрования для встроенной полезной нагрузки. Если что-то кажется неправильным, например подключенный отладчик, среда песочницы или недостаточно места на диске, расшифровка выдает мусор, и вредоносная программа автоматически останавливается.

Загрузчик также исправляет функции телеметрии Windows, чтобы скрыть инструменты безопасности. Он создает прямые трамплины системных вызовов, чтобы избежать перехватов пользовательского режима.

Наблюдатель всегда ищет программное обеспечение для анализа, такое как x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker и Frida. Если какой-либо из этих инструментов будет найден, полезная нагрузка перестанет работать.

Банковский модуль активируется только на бразильских компьютерах

Банковский модуль активируется на компьютерах, находящихся в Бразилии. Существует как минимум две проверки геозон, которые проверяют код региона, часовой пояс, языковой стандарт системы и раскладку клавиатуры.

Вредоносная программа считывает строку URL-адреса активного браузера с помощью автоматизации пользовательского интерфейса Windows. Он работает во многих браузерах, таких как Chrome, Firefox, Edge, Brave, Opera и Vivaldi, и отслеживает активные URL/URL-адреса каждую секунду.

Затем вредоносная программа сопоставляет URL-адрес со списком из 59 зашифрованных URL-адресов. В этом списке есть ссылки на сайты криптовалют, банков и финтех-сайтов в Бразилии.

Когда жертва посещает один из целевых веб-сайтов, вредоносная программа открывает WebSocket для удаленного сервера. После этого хакер получает полный удаленный контроль над компьютером.

Как только доступ предоставлен, хакер использует наложение, которое помещает верхнее окно без полей над каждым монитором. Наложение не видно на скриншотах, и жертвы не могут поделиться увиденным с другими.

Оверлей хакера имеет три шаблона:

Форма сбора учетных данных с поддельным бразильским номером телефона.

Поддельный экран прогресса обновления Windows.

«Экран ожидания», который заставляет жертв быть занятыми.

Вредоносные боты распространяют бразильский троян в WhatsApp и Outlook

Вторая полезная нагрузка передает TCLBANKER новым жертвам двумя способами:

Веб-приложение WhatsApp.

Входящие/учетные записи Outlook.

Бот WhatsApp ищет активные веб-сеансы WhatsApp в браузерах Chromium, находя каталоги локальной базы данных приложения.

Бот клонирует профиль браузера, а затем запускает автономный экземпляр Chromium. «Headless-браузер — это веб-браузер без графического пользовательского интерфейса», согласно Википедии. Затем он внедряет JavaScript, чтобы обойти обнаружение ботов, и собирает контакты жертвы.

В конце бот рассылает фишинговые сообщения, содержащие установщик TCLBANKER, контактам жертвы.

Бот Outlook подключается посредством автоматизации модели компонентных объектов (COM). Автоматизация COM позволяет программе управлять другой программой.

Бот берет адреса электронной почты из папки «Контакты» и истории входящих сообщений, а затем рассылает фишинговые письма, используя учетную запись жертвы.

В теме письма указывается «NFe disponível para impressão», что в переводе с английского означает «Электронный счет, доступный для печати». Он ссылается на фишинговый домен, выдающий себя за бразильскую ERP-платформу.

Поскольку электронные письма отправляются с реальных учетных записей, они с большей вероятностью обойдут спам-фильтры.

На прошлой неделе Cryptopolitan сообщил, что исследователи выявили четыре трояна для Android, нацеленные на более чем 800 приложений для криптовалют, банковских операций и социальных сетей с поддельными накладками для входа в систему.

В другом отчете вредоносное ПО под названием StepDrainer опустошает кошельки в более чем 20 сетях блокчейнов, используя поддельные интерфейсы подключения к кошелькам Web3.