Un cheval de Troie brésilien détourne WhatsApp pour diffuser des attaques de phishing liées aux cryptomonnaies

Des chercheurs en sécurité d'Elastic Security Labs ont découvert un nouveau cheval de Troie bancaire brésilien nommé TCLBANKER. Lorsqu'il infecte un ordinateur, il prend le contrôle des comptes WhatsApp et Outlook de la victime et envoie des messages d'hameçonnage à ses contacts.

La campagne est étiquetée REF3076. Sur la base d'une infrastructure et de modèles de code communs, les chercheurs ont lié TCLBANKER à la famille de logiciels malveillants précédemment connue MAVERICK/SORVEPOTEL.

Un cheval de Troie se propage via un générateur d'invites IA

Elastic Security Labs indique que le logiciel malveillant se présente sous la forme d'un programme d'installation piégé par un cheval de Troie pour Logi AI Prompt Builder, une application Logitech authentique et signée. Ce programme d'installation est contenu dans un fichier ZIP et utilise le chargement latéral de DLL pour exécuter un fichier malveillant qui ressemble à un plugin Flutter.

Une fois chargé, le cheval de Troie déploie deux charges utiles protégées par .NET Reactor. L'une est un module bancaire et l'autre un module ver conçu pour l'auto-propagation.

Après son chargement, le cheval de Troie déploie deux charges utiles protégées par .NET Reactor. L'une est un module bancaire, et l'autre un module ver capable de se propager.

Les contrôles anti-analyse bloquent les chercheurs

L'empreinte digitale que construit le chargeur de TCLBANKER est composée de trois éléments.

1. Contrôles anti-débogage.
2. Informations sur le disque et la mémoire.
3. Paramètres de langue.

L'empreinte numérique génère les clés de déchiffrement pour la charge utile intégrée. Si un problème est détecté, comme la présence d'un débogueur, d'un environnement sandbox ou d'un espace disque insuffisant, le déchiffrement produit des données incohérentes et le logiciel malveillant s'arrête silencieusement.

Le chargeur modifie également les fonctions de télémétrie Windows pour les rendre invisibles aux outils de sécurité. Il crée des trampolines d'appels système directs afin d'éviter les hooks en mode utilisateur.

Un système de surveillance recherche en permanence des logiciels d'analyse tels que x64dbg, Ghidra, dnSpy, IDA Pro, Process Hacker et Frida. Si l'un de ces outils est détecté, le programme malveillant est désactivé.

Le module bancaire s'active uniquement sur les ordinateurs brésiliens

Le module bancaire s'active sur les ordinateurs situés au Brésil. Il comporte au minimum deux vérifications de géorepérage prenant en compte le code régional, le fuseau horaire, les paramètres régionaux du système et la disposition du clavier.

Ce logiciel malveillant lit la barre d'adresse du navigateur actif grâce à l'automatisation de l'interface utilisateur Windows. Il fonctionne sur de nombreux navigateurs tels que Chrome, Firefox, Edge, Brave, Opera et Vivaldi, et surveille les URL actives chaque seconde.

Le logiciel malveillant compare ensuite l'URL à une liste de 59 URL chiffrées. Cette liste contient des liens vers des sites web de cryptomonnaies, de banques et de fintech au Brésil.

Lorsqu'une victime visite l'un des sites web ciblés, le logiciel malveillant ouvre une connexion WebSocket avec un serveur distant. Le pirate obtient alors le contrôle total de l'ordinateur à distance.

Une fois l'accès obtenu, le pirate utilise une superposition qui affiche une fenêtre sans bordure au premier plan de chaque écran. Cette superposition est invisible sur les captures d'écran et les victimes ne peuvent pas partager ce qu'elles voient.

L'interface du pirate informatique comporte trois modèles :

• Un formulaire de collecte de donnéesdentavec un faux numéro de téléphone brésilien.
• Un faux écran de progression de mise à jour Windows.
• Un « écran d'attente pour le vishing » qui occupe les victimes.

Des robots malveillants ont propagé le cheval de Troie brésilien sur WhatsApp et Outlook

La seconde charge utile propage TCLBANKER à de nouvelles victimes de deux manières :

• Application web WhatsApp.
• Boîtes de réception/comptes Outlook.

Le bot WhatsApp recherche les sessions WhatsApp Web actives dans les navigateurs Chromium en localisant les répertoires de la base de données locale de l'application.

Le bot clone le profil du navigateur, puis lance une instance Chromium sans interface graphique. « Un navigateur sans interface graphique est un navigateur web dépourvu d'interface utilisateur graphique », selon Wikipédia. Il injecte ensuite du JavaScript pour contourner la détection des bots et récupère les contacts de la victime.

Au final, le bot envoie des messages d'hameçonnage contenant le programme d'installation de TCLBANKER aux contacts de la victime.

Le bot Outlook se connecte via l'automatisation COM (Component Object Model). L'automatisation COM permet à un programme de contrôler un autre programme.

Le bot récupère les adresses électroniques du dossier Contacts et de l'historique de la boîte de réception, puis il envoie des courriels d'hameçonnage en utilisant le compte de la victime.

Les courriels ont pour objet « NFe disponível para impressão », ce qui signifie « Facturetrondisponible pour impression ». Ils renvoient vers un site d'hameçonnage imitant une plateforme ERP brésilienne.

Comme les courriels sont envoyés depuis de vrais comptes, ils ont plus de chances de contourner les filtres anti-spam.

La semaine dernière, Cryptopolitan a rapporté que des chercheurs avaientdentquatre chevaux de Troie Android ciblant plus de 800 applications de cryptomonnaie, bancaires et de médias sociaux avec de fausses superpositions de connexion.

Dans un autre rapport, un logiciel malveillant appelé StepDrainer a vidé des portefeuilles sur plus de 20 réseaux blockchain en utilisant de fausses interfaces de connexion de portefeuille Web3.