TCLBANKER ٹروجن متاثرین کے اپنے پیغام رسانی اکاؤنٹس کے ذریعے پھیلتا ہے۔

لچکدار سیکورٹی لیبز کے سیکورٹی محققین نے TCLBANKER کے نام سے ایک نیا برازیلی بینکنگ ٹروجن دریافت کیا ہے۔ جب یہ کسی مشین کو متاثر کرتا ہے، تو یہ متاثرہ کے واٹس ایپ اور آؤٹ لک اکاؤنٹس پر قبضہ کر لیتا ہے اور ان کے رابطوں کو فشنگ پیغامات بھیجتا ہے۔

مہم کو REF3076 کا نام دیا گیا ہے۔ عام انفراسٹرکچر اور کوڈ پیٹرن کی بنیاد پر، محققین نے TCLBANKER کو پہلے سے معلوم میلویئر فیملی MAVERICK/SORVEPOTEL سے جوڑ دیا ہے۔

ٹروجن AI پرامپٹ بلڈر کے ذریعے پھیلتا ہے۔

لچکدار سیکیورٹی لیبز کا کہنا ہے کہ میلویئر Logi AI Prompt Builder کے لیے ٹروجنائزڈ انسٹالر کے طور پر آتا ہے، جو کہ ایک حقیقی دستخط شدہ Logitech ایپ ہے۔ انسٹالر ایک زپ فائل میں آتا ہے اور DLL سائڈ لوڈنگ کو ایک نقصان دہ فائل چلانے کے لیے استعمال کرتا ہے جو فلٹر پلگ ان کی طرح نظر آتی ہے۔

لوڈ ہونے کے بعد، ٹروجن دو .NET ری ایکٹر سے محفوظ پے لوڈ تعینات کرتا ہے۔ ایک بینکنگ ماڈیول ہے اور دوسرا ایک کیڑا ماڈیول ہے جو خود کو پھیلانے کے لیے بنایا گیا ہے۔

لوڈ ہونے کے بعد، ٹروجن دو .NET ری ایکٹر سے محفوظ پے لوڈز تعینات کرتا ہے۔ ایک بینکنگ ماڈیول ہے، اور دوسرا ایک کیڑا ماڈیول ہے جو خود کو پھیلا سکتا ہے۔

فائل ڈائرکٹری کے مواد جو بدنیتی پر مبنی فائلیں دکھا رہے ہیں۔ ماخذ: لچکدار سیکیورٹی لیبز۔

اینٹی تجزیہ چیک کرنے والے محققین کو روکتا ہے۔

فنگر پرنٹ کے تین حصے ہیں جو TCLBANKER کا لوڈر بناتا ہے۔

اینٹی ڈیبگنگ چیک۔

ڈسک اور میموری کی معلومات۔

زبان کی ترتیبات۔

فنگر پرنٹ ایمبیڈڈ پے لوڈ کے لیے ڈکرپشن کیز تیار کرتا ہے۔ اگر کچھ غلط لگتا ہے، جیسے ڈیبگر منسلک، سینڈ باکس کا ماحول، یا کم ڈسک کی جگہ، ڈیکرپشن کوڑا کرکٹ پیدا کرتا ہے، اور میلویئر خاموشی سے رک جاتا ہے۔

لوڈر بلائنڈ سیکیورٹی ٹولز کے لیے ونڈوز ٹیلی میٹری فنکشنز کو بھی پیچ کرتا ہے۔ یہ صارف کے موڈ ہکس سے بچنے کے لیے براہ راست سیسکال ٹرامپولینز بناتا ہے۔

ایک واچ ڈاگ ہمیشہ تجزیہ سافٹ ویئر کی تلاش میں رہتا ہے جیسے x64dbg، Ghidra، dnSpy، IDA Pro، Process Hacker، اور Frida۔ اگر ان میں سے کوئی بھی ٹول مل جاتا ہے تو پے لوڈ کام کرنا بند کر دیتا ہے۔

بینکنگ ماڈیول صرف برازیلی کمپیوٹرز پر فعال ہوتا ہے۔

بینکنگ ماڈیول برازیل میں واقع کمپیوٹرز پر فعال ہوتا ہے۔ کم از کم دو جیوفینسنگ چیکس ہیں جو ریجن کوڈ، ٹائم زون، سسٹم لوکیل، اور کی بورڈ لے آؤٹ کو دیکھتے ہیں۔

میلویئر ونڈوز UI آٹومیشن کا استعمال کرتے ہوئے فعال براؤزر URL بار کو پڑھتا ہے۔ یہ کروم، فائر فاکس، ایج، بہادر، اوپیرا، اور ویوالڈی جیسے بہت سے براؤزرز پر کام کرتا ہے، اور یہ ہر سیکنڈ میں فعال URL/URLs کی نگرانی کرتا ہے۔

میلویئر پھر یو آر ایل کو 59 خفیہ کردہ یو آر ایل کی فہرست سے ملاتا ہے۔ اس فہرست میں برازیل میں کرپٹو، بینکوں اور فنٹیک ویب سائٹس کے لنکس ہیں۔

جب کوئی شکار ہدف شدہ ویب سائٹس میں سے کسی ایک پر جاتا ہے، تو میلویئر ایک ویب ساکٹ کو ریموٹ سرور پر کھولتا ہے۔ اس کے بعد ہیکر کمپیوٹر کا مکمل ریموٹ کنٹرول حاصل کر لیتا ہے۔

ایک بار رسائی ملنے کے بعد، ہیکر ایک اوورلے کا استعمال کرتا ہے جو ہر مانیٹر کے اوپر ایک سرحد کے بغیر، سب سے اوپر والی ونڈو رکھتا ہے۔ اوورلے اسکرین شاٹس میں نظر نہیں آتا، اور متاثرین دوسروں کے ساتھ جو کچھ دیکھتے ہیں اس کا اشتراک نہیں کر سکتے۔

ہیکر کے اوورلے میں تین ٹیمپلیٹس ہیں:

جعلی برازیلی فون نمبر کے ساتھ کٹائی کا ایک سندی فارم۔

ایک جعلی ونڈوز اپ ڈیٹ پروگریس اسکرین۔

ایک "ویشنگ ویٹنگ اسکرین" جو متاثرین کو مصروف رکھتی ہے۔

بدنیتی پر مبنی بوٹس برازیلی ٹروجن کو WhatsApp اور Outlook پر پھیلاتے ہیں۔

دوسرا پے لوڈ TCLBANKER کو نئے متاثرین تک دو طریقوں سے پھیلاتا ہے:

واٹس ایپ ویب ایپ۔

آؤٹ لک ان باکسز/اکاؤنٹس۔

واٹس ایپ بوٹ ایپ کی مقامی ڈیٹا بیس ڈائریکٹریز کو تلاش کرکے کرومیم براؤزرز میں فعال WhatsApp ویب سیشنز تلاش کرتا ہے۔

بوٹ براؤزر پروفائل کو کلون کرتا ہے، پھر بغیر ہیڈ لیس کرومیم مثال لانچ کرتا ہے۔ ویکیپیڈیا کے مطابق "ایک سر کے بغیر براؤزر ایک ویب براؤزر ہے جس میں گرافیکل یوزر انٹرفیس نہیں ہے۔" اس کے بعد یہ بوٹ کی کھوج کو نظرانداز کرنے کے لیے JavaScript کا انجیکشن لگاتا ہے اور شکار کے رابطوں کو حاصل کرتا ہے۔

آخر میں، بوٹ شکار کے رابطوں کو TCLBANKER انسٹالر پر مشتمل فشنگ پیغامات بھیجتا ہے۔

آؤٹ لک بوٹ اجزاء آبجیکٹ ماڈل (COM) آٹومیشن کے ذریعے جڑتا ہے۔ COM آٹومیشن ایک پروگرام کو دوسرے پروگرام کو کنٹرول کرنے دیتا ہے۔

بوٹ رابطے کے فولڈر اور ان باکس ہسٹری سے ای میل ایڈریس لیتا ہے، پھر یہ شکار کے اکاؤنٹ کا استعمال کرتے ہوئے فشنگ ای میل بھیجتا ہے۔

ای میلز کی سبجیکٹ لائن ہے "NFe disponível para impressão"، جس کا انگریزی میں مطلب ہے، "الیکٹرانک انوائس دستیاب برائے پرنٹنگ"۔ یہ برازیل کے ERP پلیٹ فارم کی نقالی کرنے والے ایک فشنگ ڈومین سے لنک کرتا ہے۔

چونکہ ای میلز اصلی اکاؤنٹس سے بھیجی جاتی ہیں، اس لیے ان کے اسپام فلٹرز کو نظرانداز کرنے کا زیادہ امکان ہوتا ہے۔

پچھلے ہفتے، کرپٹوپولیٹن نے اطلاع دی کہ محققین نے جعلی لاگ ان اوورلیز کے ساتھ +800 کرپٹو، بینکنگ، اور سوشل میڈیا ایپس کو نشانہ بنانے والے چار اینڈرائیڈ ٹروجن کی نشاندہی کی۔

ایک اور رپورٹ میں، StepDrainer نامی میلویئر جعلی Web3 والیٹ کنکشن انٹرفیس کا استعمال کرتے ہوئے +20 بلاکچین نیٹ ورکس میں بٹوے نکال رہا ہے۔