Троян TCLBANKER распространяется через собственные аккаунты мессенджеров жертв

Исследователи безопасности из Elastic Security Labs обнаружили новый бразильский банковский троян под названием TCLBANKER. При заражении устройства он захватывает аккаунты WhatsApp и Outlook жертвы и рассылает фишинговые сообщения её контактам.

Кампания обозначена как REF3076. На основе общей инфраструктуры и шаблонов кода исследователи связали TCLBANKER с ранее известным семейством вредоносных программ MAVERICK/SORVEPOTEL.

Троян распространяется через конструктор AI-подсказок

Elastic Security Labs сообщает, что вредоносная программа распространяется в виде троянизированного установщика Logi AI Prompt Builder — настоящего подписанного приложения Logitech. Установщик поставляется в ZIP-файле и использует DLL-подгрузку для запуска вредоносного файла, замаскированного под плагин Flutter.

После загрузки троян развёртывает две полезные нагрузки, защищённые .NET Reactor. Одна представляет собой банковский модуль, другая — модуль-червь, созданный для самораспространения.

После загрузки троян развёртывает две полезные нагрузки, защищённые .NET Reactor. Одна — банковский модуль, другая — модуль-червь, способный распространяться самостоятельно.

Защита от анализа блокирует исследователей

Цифровой отпечаток, формируемый загрузчиком TCLBANKER, состоит из трёх частей.

1. Проверки на наличие отладчика.
2. Информация о диске и памяти.
3. Языковые настройки.

Цифровой отпечаток генерирует ключи расшифровки для встроенной полезной нагрузки. Если что-то кажется подозрительным — например, подключён отладчик, обнаружена среда песочницы или недостаточно места на диске — расшифровка выдаёт мусор, и вредоносная программа незаметно прекращает работу.

Загрузчик также патчит функции телеметрии Windows, чтобы ослепить инструменты безопасности. Он создаёт прямые трамплины системных вызовов, чтобы избежать перехватчиков в режиме пользователя.

Сторожевой процесс постоянно ищет программы для анализа, такие как x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker и Frida. При обнаружении любого из этих инструментов полезная нагрузка прекращает работу.

Банковский модуль активируется только на бразильских компьютерах

Банковский модуль активируется на компьютерах, находящихся в Бразилии. Предусмотрено не менее двух геофенсинговых проверок, анализирующих код региона, часовой пояс, системный языковой стандарт и раскладку клавиатуры.

Вредоносная программа считывает активный URL в браузере с помощью Windows UI Automation. Она работает во многих браузерах, включая Chrome, Firefox, Edge, Brave, Opera и Vivaldi, и отслеживает активный URL каждую секунду.

Затем вредоносная программа сопоставляет URL со списком из 59 зашифрованных адресов. Этот список содержит ссылки на криптовалютные, банковские и финтех-сайты в Бразилии.

Когда жертва посещает один из целевых сайтов, вредоносная программа открывает WebSocket к удалённому серверу. После этого хакер получает полный удалённый контроль над компьютером.

Получив доступ, хакер использует оверлей, размещающий безрамочное окно поверх всех мониторов. Оверлей не отображается на скриншотах, и жертвы не могут показать увиденное другим.

Оверлей хакера имеет три шаблона:

• Форма для сбора учётных данных с поддельным бразильским номером телефона.
• Экран с поддельным прогрессом обновления Windows.
• «Экран ожидания вишинга», удерживающий жертв в ожидании.

Вредоносные боты распространяют бразильский троян через WhatsApp и Outlook

Вторая полезная нагрузка распространяет TCLBANKER среди новых жертв двумя способами:

• Веб-приложение WhatsApp.
• Входящие сообщения/аккаунты Outlook.

Бот WhatsApp ищет активные сессии WhatsApp Web в браузерах Chromium, обнаруживая локальные каталоги базы данных приложения.

Бот клонирует профиль браузера, затем запускает безголовый экземпляр Chromium. «Безголовый браузер — это веб-браузер без графического интерфейса пользователя», согласно Wikipedia. Затем он внедряет JavaScript для обхода обнаружения ботов и собирает контакты жертвы.

В итоге бот отправляет фишинговые сообщения, содержащие установщик TCLBANKER, контактам жертвы.

Бот Outlook подключается через автоматизацию Component Object Model (COM). Автоматизация COM позволяет одной программе управлять другой.

Бот извлекает адреса электронной почты из папки «Контакты» и истории входящих сообщений, а затем отправляет фишинговые письма с аккаунта жертвы.

Письма имеют тему «NFe disponível para impressão», что в переводе означает «Электронный счёт-фактура доступен для печати». Ссылка ведёт на фишинговый домен, имитирующий бразильскую ERP-платформу.

Поскольку письма отправляются с реальных аккаунтов, они с большей вероятностью обходят спам-фильтры.

На прошлой неделе Cryptopolitan сообщил, что исследователи выявили четыре Android-трояна, атакующих более 800 криптовалютных, банковских и социальных приложений с помощью поддельных оверлеев для входа.

В другом отчёте сообщалось, что вредоносная программа под названием StepDrainer опустошает кошельки в более чем 20 блокчейн-сетях, используя поддельные интерфейсы подключения Web3-кошельков.

Если вы хотите спокойно войти в мир DeFi-крипты без лишней шумихи, начните с этого бесплатного видео.