TCLBANKER 木马通过受害者自己的消息帐户传播

Elastic Security Labs 的安全研究人员发现了一种新的巴西银行木马，名为 TCLBANKER。当它感染计算机时，它会接管受害者的 WhatsApp 和 Outlook 帐户，并向他们的联系人发送网络钓鱼消息。

该活动标记为 REF3076。基于通用基础设施和代码模式，研究人员将 TCLBANKER 与之前已知的恶意软件家族 MAVERICK/SORVEPOTEL 联系起来。

木马通过人工智能提示生成器传播

Elastic Security Labs 表示，该恶意软件是 Logi AI Prompt Builder 的木马安装程序，这是一款真正签名的 Logitech 应用程序。安装程序位于 ZIP 文件中，并使用 DLL 侧载来运行看起来像 Flutter 插件的恶意文件。

加载后，该木马会部署两个受 .NET Reactor 保护的有效负载。一个是银行模块，另一个是为自我传播而构建的蠕虫模块。

加载后，该木马会部署两个受 .NET Reactor 保护的有效负载。一个是银行模块，另一个是可以自我传播的蠕虫模块。

显示恶意文件的文件目录内容。来源：Elastic 安全实验室。

反分析检查阻止研究人员

TCLBANKER 的加载程序构建的指纹由三个部分组成。

反调试检查。

磁盘和内存信息。

语言设置。

指纹为嵌入的有效负载生成解密密钥。如果出现问题，例如附加的调试器、沙箱环境或磁盘空间不足，解密会产生垃圾，并且恶意软件会默默停止。

该加载程序还修补 Windows 遥测功能，使安全工具失明。它创建直接的系统调用蹦床以避免用户模式挂钩。

看门狗总是在寻找分析软件，例如 x64dbg、Ghidra、dnSpy、IDA Pro、Process Hacker 和 Frida。如果找到任何这些工具，有效负载就会停止工作。

银行模块仅在巴西计算机上激活

银行模块在位于巴西的计算机上激活。至少有两次地理围栏检查，检查区域代码、时区、系统区域设置和键盘布局。

该恶意软件使用 Windows UI 自动化读取活动浏览器 URL 栏。它适用于 Chrome、Firefox、Edge、Brave、Opera 和 Vivaldi 等多种浏览器，并且每秒监控活动 URL。

然后，恶意软件将该 URL 与包含 59 个加密 URL 的列表进行匹配。该列表包含巴西加密货币、银行和金融科技网站的链接。

当受害者访问目标网站之一时，恶意软件会打开到远程服务器的 WebSocket。然后黑客就可以完全远程控制计算机。

一旦获得访问权限，黑客就会使用覆盖层，在每个显示器上放置一个无边框的最顶层窗口。屏幕截图中看不到叠加层，受害者无法与其他人分享他们所看到的内容。

黑客的覆盖层具有三个模板：

带有假巴西电话号码的凭证收集表格。

虚假的 Windows 更新进度屏幕。

一个让受害者忙碌的“钓鱼等待屏幕”。

恶意机器人在 WhatsApp 和 Outlook 上传播巴西木马

第二个有效负载通过两种方式将 TCLBANKER 传播给新的受害者：

WhatsApp 网络应用程序。

Outlook 收件箱/帐户。

WhatsApp 机器人通过查找应用程序的本地数据库目录在 Chromium 浏览器中查找活动的 WhatsApp Web 会话。

该机器人克隆浏览器配置文件，然后启动一个无头 Chromium 实例。根据维基百科的说法，“无头浏览器是没有图形用户界面的网络浏览器”。然后，它注入 JavaScript 以绕过机器人检测并获取受害者的联系人。

最后，该机器人会向受害者的联系人发送包含 TCLBANKER 安装程序的网络钓鱼消息。

Outlook 机器人通过组件对象模型 (COM) 自动化进行连接。 COM 自动化让一个程序控制另一个程序。

该机器人从“联系人”文件夹和收件箱历史记录中获取电子邮件地址，然后使用受害者的帐户发送网络钓鱼电子邮件。

这些电子邮件的主题行为“NFe disponível para impressão”，英文意思是“可供打印的电子发票”。它链接到冒充巴西 ERP 平台的网络钓鱼域。

由于电子邮件是从真实帐户发送的，因此它们更有可能绕过垃圾邮件过滤器。

上周，Cryptopolitan 报道称，研究人员发现了 4 个 Android 木马，目标是超过 800 个带有虚假登录覆盖的加密货币、银行和社交媒体应用程序。

在另一份报告中，一种名为 StepDrainer 的恶意软件已使用虚假的 Web3 钱包连接接口在 20 多个区块链网络上耗尽钱包。