資安研究人員發現 TCLBANKER，這是一款巴西銀行木馬程式，會劫持 WhatsApp 和 Outlook 帳戶，向受害者的聯絡人散播加密貨幣釣魚攻擊。資安研究人員發現 TCLBANKER，這是一款巴西銀行木馬程式，會劫持 WhatsApp 和 Outlook 帳戶，向受害者的聯絡人散播加密貨幣釣魚攻擊。

TCLBANKER木馬透過受害者自己的通訊帳號傳播

來源：Cryptopolitan

2026/05/10 06:10

閱讀時長 8 分鐘

如需對本內容提供反饋或相關疑問，請通過郵箱 crypto.news@mexc.com 聯絡我們。

Elastic Security Labs 的安全研究人員發現了一款名為 TCLBANKER 的新型巴西銀行木馬。當它感染一台電腦後，會接管受害者的 WhatsApp 和 Outlook 帳戶，並向其聯絡人發送釣魚訊息。

此活動被標記為 REF3076。研究人員根據共同的基礎設施和程式碼模式，將 TCLBANKER 與此前已知的惡意軟體家族 MAVERICK/SORVEPOTEL 關聯起來。

木馬透過 AI 提示建構工具傳播

Elastic Security Labs 表示，該惡意軟體以木馬化的 Logi AI Prompt Builder 安裝程式形式出現，而 Logi AI Prompt Builder 是一款真實的已簽署 Logitech 應用程式。安裝程式以 ZIP 檔案形式提供，並利用 DLL 側載來執行一個偽裝成 Flutter 插件的惡意檔案。

載入後，木馬會部署兩個受 .NET Reactor 保護的有效載荷。一個是銀行模組，另一個是專為自我傳播而設計的蠕蟲模組。

載入後，木馬會部署兩個受 .NET Reactor 保護的有效載荷。一個是銀行模組，另一個是能夠自我擴散的蠕蟲模組。

Brazilian trojan hijacks WhatsApp to spread crypto phishing.

顯示惡意檔案的目錄內容。來源：Elastic Security Labs。

反分析檢查阻擋研究人員

TCLBANKER 的載入器所建立的指紋由三個部分組成。

反除錯檢查。
磁碟與記憶體資訊。
語言設定。

該指紋會為嵌入的有效載荷生成解密金鑰。若發現異常，例如附加了除錯器、沙盒環境或磁碟空間不足，解密將產生無效資料，惡意軟體便會靜默停止運行。

載入器還會修補 Windows 遙測函數以使安全工具失效，並建立直接系統呼叫跳板以繞過使用者模式掛鉤。

監控程序會持續搜尋分析軟體，例如 x64dbg、Ghidra、dnSpy、IDA Pro、Process Hacker 和 Frida。一旦發現上述任何工具，有效載荷便會停止運作。

銀行模組僅在巴西電腦上啟動

銀行模組會在位於巴西的電腦上啟動。至少有兩項地理圍欄檢查，分別針對地區代碼、時區、系統語言環境和鍵盤配置進行驗證。

惡意軟體透過 Windows UI 自動化讀取瀏覽器的活動 URL 欄，支援 Chrome、Firefox、Edge、Brave、Opera 和 Vivaldi 等多款瀏覽器，並每秒監控活動的 URL。

惡意軟體隨後將 URL 與一份含有 59 個加密 URL 的清單進行比對，該清單包含巴西的加密貨幣、銀行和金融科技網站連結。

當受害者造訪其中一個目標網站時，惡意軟體會向遠端伺服器開啟一個 WebSocket，駭客隨即獲得對該電腦的完全遠端控制權。

一旦獲得存取權限，駭客便會使用覆蓋層，在每台顯示器上放置一個無邊框的頂層視窗。該覆蓋層不會出現在截圖中，受害者也無法與他人分享所看到的畫面。

駭客的覆蓋層有三種範本：

附有偽造巴西電話號碼的憑證收集表單。
偽造的 Windows 更新進度畫面。
讓受害者保持等待的「語音釣魚等待畫面」。

惡意機器人透過 WhatsApp 和 Outlook 傳播巴西木馬

第二個有效載荷透過兩種方式將 TCLBANKER 傳播給新受害者：

WhatsApp 網頁應用程式。
Outlook 收件匣／帳戶。

WhatsApp 機器人透過定位應用程式的本地資料庫目錄，在 Chromium 瀏覽器中搜尋活動的 WhatsApp Web 工作階段。

機器人複製瀏覽器設定檔，隨後啟動一個無介面的 Chromium 實例。根據 Wikipedia 的說明，「無介面瀏覽器是一種沒有圖形使用者介面的網頁瀏覽器」。它接著注入 JavaScript 以繞過機器人偵測，並收集受害者的聯絡人資訊。

最終，機器人向受害者的聯絡人發送含有 TCLBANKER 安裝程式的釣魚訊息。

Outlook 機器人透過元件物件模型（COM）自動化進行連接。COM 自動化允許一個程式控制另一個程式。

機器人從「聯絡人」資料夾和收件匣歷史記錄中提取電子郵件地址，然後使用受害者的帳戶發送釣魚電子郵件。

這些電子郵件的主旨行為「NFe disponível para impressão」，英文意思為「Electronic Invoice Available for Printing」（電子發票可供列印）。郵件連結至一個冒充巴西 ERP 平台的釣魚網域。

由於這些電子郵件從真實帳戶發出，因此更有可能繞過垃圾郵件過濾器。

上週，Cryptopolitan 報導研究人員發現了四款 Android 木馬，利用偽造登入覆蓋層針對超過 800 款加密貨幣、銀行及社群媒體應用程式發動攻擊。

另一份報告顯示，一款名為 StepDrainer 的惡意軟體正利用偽造的 Web3 錢包連接介面，在超過 20 個區塊鏈網路中持續盜取錢包資產。

如果您想以更平穩的方式進入 DeFi 加密貨幣領域，擺脫通常的炒作，不妨從這段免費影片開始。

200,000 USDT 獎池

交易黃金、白銀及原油，人人有獎。

免責聲明: 本網站轉載的文章均來源於公開平台，僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利，請聯絡 crypto.news@mexc.com 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證，並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考，不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。