Un troyano brasileño secuestra WhatsApp para propagar el phishing de criptomonedas

Investigadores de seguridad de Elastic Security Labs han descubierto un nuevo troyano bancario brasileño llamado TCLBANKER. Al infectar un equipo, toma el control de las cuentas de WhatsApp y Outlook de la víctima y envía mensajes de phishing a sus contactos.

La campaña está etiquetada como REF3076. Basándose en patrones comunes de infraestructura y código, los investigadores han vinculado TCLBANKER con la familia de malware previamente conocida MAVERICK/SORVEPOTEL.

El troyano se propaga a través de un generador de mensajes de IA

Elastic Security Labs Según , el malware se presenta como un instalador troyanizado para Logi AI Prompt Builder, una aplicación legítima de Logitech firmada. El instalador viene en un archivo ZIP y utiliza la carga lateral de DLL para ejecutar un archivo malicioso que se asemeja a un complemento de Flutter.

Una vez cargado, el troyano despliega dos cargas útiles protegidas por .NET Reactor. Una es un módulo bancario y la otra es un módulo de gusano diseñado para autopropagarse.

Tras su carga, el troyano despliega dos cargas útiles protegidas por .NET Reactor. Una es un módulo bancario y la otra es un módulo de gusano que puede propagarse.

Los controles antianálisis bloquean a los investigadores

La huella digital que genera el cargador de TCLBANKER se compone de tres partes.

1. Comprobaciones anti-depuración.
2. Información sobre el disco y la memoria.
3. Configuración de idioma.

La huella digital genera las claves de descifrado para la carga útil incrustada. Si algo parece estar mal, como un depurador conectado, un entorno aislado o poco espacio en disco, el descifrado produce datos basura y el malware se detiene silenciosamente.

El cargador también modifica las funciones de telemetría de Windows para ocultar las herramientas de seguridad. Crea enlaces de llamadas al sistema directos para evitar los ganchos en modo de usuario.

Un sistema de vigilancia busca constantemente software de análisis como x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker y Frida. Si se detecta alguna de estas herramientas, la carga útil deja de funcionar.

El módulo bancario se activa solo en ordenadores brasileños

El módulo bancario se activa en ordenadores ubicados en Brasil. Se realizan al menos dos comprobaciones de geolocalización que analizan el código de región, la zona horaria, la configuración regional del sistema y la distribución del teclado.

El malware lee la barra de direcciones del navegador activo mediante la automatización de la interfaz de usuario de Windows. Funciona en numerosos navegadores como Chrome, Firefox, Edge, Brave, Opera y Vivaldi, y monitoriza las URL activas cada segundo.

El malware compara la URL con una lista de 59 URL cifradas. Esta lista contiene enlaces a sitios web de criptomonedas, bancos y empresas fintech en Brasil.

Cuando una víctima visita uno de los sitios web objetivo, el malware abre una conexión WebSocket con un servidor remoto. De esta forma, el pirata informático obtiene el control remoto total del ordenador.

Una vez que se concede el acceso, el hacker utiliza una superposición que coloca una ventana sin bordes en la parte superior de cada monitor. Esta superposición no es visible en las capturas de pantalla y las víctimas no pueden compartir lo que ven con otras personas.

La superposición del hacker tiene tres plantillas:

• Un formulario de recolección dedentcon un número de teléfono brasileño falso.
• Una pantalla de progreso falsa de actualización de Windows.
• Una "pantalla de espera de vishing" que mantiene ocupadas a las víctimas.

Bots maliciosos propagan el troyano brasileño en WhatsApp y Outlook

La segunda carga útil propaga TCLBANKER a nuevas víctimas de dos maneras:

• Aplicación web de WhatsApp.
• Bandejas de entrada/cuentas de Outlook.

El bot de WhatsApp busca sesiones activas de WhatsApp Web en navegadores basados ​​en Chromium localizando los directorios de la base de datos local de la aplicación.

El bot clona el perfil del navegador y luego inicia una instancia de Chromium sin interfaz gráfica. Según Wikipedia, un navegador sin interfaz gráfica es un navegador web sin interfaz gráfica de usuario. A continuación, inyecta JavaScript para eludir la detección de bots y recopila los contactos de la víctima.

Finalmente, el bot envía mensajes de phishing que contienen el instalador TCLBANKER a los contactos de la víctima.

El bot de Outlook se conecta mediante la automatización del Modelo de Objetos Componentes (COM). La automatización COM permite que un programa controle a otro.

El bot obtiene las direcciones de correo electrónico de la carpeta de Contactos y del historial de la bandeja de entrada, y luego envía correos electrónicos de phishing utilizando la cuenta de la víctima.

Los correos electrónicos tienen como asunto “NFe disponível para impressão”, que significa “Facturatrondisponible para imprimir”. El enlace redirige a un dominio de phishing que suplanta la identidad de una plataforma ERP brasileña.

Dado que los correos electrónicos se envían desde cuentas reales, es más probable que eludan los filtros de spam.

La semana pasada, Cryptopolitan informó que los investigadores identificarondentcuatro troyanos para Android más de 800 aplicaciones de criptomonedas, banca y redes sociales con superposiciones de inicio de sesión falsas.

En otro informe, un programa malicioso llamado StepDrainer ha estado vaciando monederos en más de 20 redes blockchain utilizando interfaces de conexión de monederos Web3 falsas.